Info om GDPR

Subjektiva eller objektiva personuppgifter

Information om en individ kan vara antingen subjektiva eller objektiva personuppgifter, det vill säga personuppgifter av subjektiv eller objektiv karaktär. Företag och organisationer som omfattas av GDPR, behöver känna till vad som kan utgöra en personuppgift inklusive om de är subjektiva eller objektiva personuppgifter, för att säkerställa korrekt behandling. 

Vad är definitionen av en personuppgift?

En personuppgift är enligt GDPR varje uppgift om en fysisk levande person som kan identifieras genom uppgiften ifråga. Detta gäller oavsett om det går att koppla uppgiften till individen direkt eller indirekt, ensam eller i kombination med andra uppgifter. 

Det finns också olika kategorier samt grupper av personuppgifter, och vissa behöver bli behandlade med högre säkerhet. Med andra ord, ju viktigare personuppgifterna är, desto större är säkerhetskraven. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Omfattar GDPR personuppgifter tillhörande avlidna personer?

Nej, GDPR omfattar inte personuppgifter tillhörande avlidna personer, enligt skäl 27 i GDPR. Detta innebär att det enbart är personuppgifter tillhörande levande människor som omfattas av GDPR. Däremot är det upp till varje medlemsstat att fastställa sina egna nationella regler för behandlingen av personuppgifter tillhörande avlidna personer. 

Finns det kategorier av personuppgifter som är integritetskänsliga eller känsliga?

Ja, det finns olika grupperingar av subjektiva eller objektiva personuppgifter, varav vissa är mer integritetskänsliga än andra. Det går att dela in integritetskänsliga personuppgifter i fyra (4) grupper. Bland annat följande:

Periodic penalty payments

Subjektivt integritetskänsliga personuppgifter

En av de fyra grupperna är subjektivt integritetskänsliga personuppgifter, såsom bankkontouppgifter, privat kommunikationsdata, personnummer och lokaliseringsuppgifter. Med andra ord avser denna grupp sådana personuppgifter som den enskilde kan känna är obekvämt eller integritetskränkande för någon annan att behandla. Det kan alltså vara fråga om en objektiv personuppgift, som är av subjektivt integritetskänslig karaktär.

Särskilda kategorier av personuppgifter

Det finns specifika bestämmelser i GDPR gällande behandling av särskilda kategorier av personuppgifter, även kallade för “känsliga personuppgifter”. Enligt huvudregeln i artikel 9 i GDPR är det förbjudet att behandla dem. Däremot finns det undantag, och de flesta företag behandlar känsliga personuppgifter tillhörande sina anställda. Exempelvis information om anställdas sjukfrånvaro, diagnoser och blodgrupp. Några andra exempel på känsliga personuppgifter är uppgifter som avslöjar information om en individs religiösa övertygelse, politiska åsikter och biometriska uppgifter.

Vad är personuppgifter av objektiv karaktär?

Personuppgifter av objektiv karaktär, det vill säga objektiva personuppgifter, är främst det många människor direkt uppfattar som en tydlig personuppgift. Till exempel ett förnamn, telefonnummer, postadress, bankkontonummer etc. Oftast brukar personuppgifter av objektiv karaktär vara sådana uppgifter som direkt kan identifiera en fysisk levande person. 

Denna typ av personuppgifter är ofta baserad på fakta, mätbara och kan verifieras. Objektiva personuppgifter kan även bevisas vara falska eller sanna. Exempelvis bankkontonummer, anställningsdatum. Kort sagt avslöjar objektiva personuppgifter faktabaserad information om en individ.

Vad är personuppgifter av subjektiv karaktär?

Uppgifter om en individ som bygger på intryck, bedömningar, åsikter eller antaganden, är personuppgifter av subjektiv karaktär. Det vill säga, subjektiva personuppgifter. Med andra ord, innebär detta att olika personer kan ha olika subjektiv bedömning baserat på den personliga uppfattningen av en individ. 

Subjektiva personuppgifter är även sådana som beskriver en egenskap hos en individ, eller utgörs av en bedömning av en person. Det är vanligt att personuppgifter av subjektiv karaktär är mer integritetskänsliga än personuppgifter av objektiv karaktär, och bör behandlas med högre säkerhet för att skydda dem mot riskerna som behandlingen medför. Detta beror på att personuppgifter av subjektiv karaktär ofta uppfattas som integritetskänsliga för den registrerade. 

Exempel på personuppgifter med subjektiv karaktär

Diagnoser

När en läkare ger en diagnos till en patient.

Kreditvärdighet

När en person vill ta ett banklån och banken bedömer den ekonomiska situationen och kreditvärdigheten hos personen.

Betygsättning

När lärare sätter betyg på elever.

Referenser

När en arbetsgivare är en referens till en arbetstagare och lämnar sitt utlåtande om arbetstagaren.

Mer om personuppgifter

Anonymiserade uppgifter

Genom att anonymisera personuppgifter, kan företag fortsätta behandla data som kan vara bra för dem att ha. När uppgifter har blivit anonymiserade i enlighet med de tre kriterierna från de Europeiska dataskyddsmyndigheterna, utgör uppgifterna inte längre personuppgifter. Därmed omfattas de anonymiserade uppgifterna inte längre av GDPR. Däremot utgör själva anonymiseringsprocessen i sig en behandling av personuppgifter som omfattas av GDPR. Detta innebär bland annat att de registrerade har rätt att få information om processen. Observera att pseudonymiserade uppgifter inte är samma sak som anonymiserade uppgifter. 

Vill du lära dig mer?

Klicka här
Rulla till toppen