Hva anses som personopplysninger?

Hva regnes som personopplysninger? Direkte og indirekte identifikasjon

Hva regnes som personopplysninger handler om informasjon som kan knytte seg til en enkeltperson, inkludert indirekte identifikatorer. Korrekt forståelse er viktig for å beskytte rettigheter og unngå misforståelser. Les videre for å sikre riktig håndtering og behandling av slik informasjon.

Hva regnes som personopplysninger i dagens digitale samfunn?

Personopplysninger omfatter all informasjon som direkte eller indirekte kan knyttes til en enkeltperson. Forståelsen av dette begrepet er avgjørende for å navigere trygt i en verden hvor nesten alle digitale handlinger etterlater spor.

Begrepet er ikke begrenset til passnavn eller personnummer. Det handler om alt som kan brukes til å identifisere deg, enten alene eller ved å kombinere ulike datakilder. Denne utvidede definisjon personopplysninger er hjørnesteinen i hvordan vi beskytter privatlivet mot uautorisert kartlegging.

Direkte versus indirekte identifikasjon

Direkte opplysninger er de mest åpenbare. Dette inkluderer informasjon som umiddelbart forteller hvem du er, som ditt fulle navn, ditt personnummer eller et tydelig bilde av ansiktet ditt. Når disse opplysningene er tilgjengelige, er koblingen til personen udiskutabel.

Hva er indirekte personopplysninger krever derimot litt mer detektivarbeid, men er ofte like avslørende. Dette kan være unike kjennetegn som bilnummer, IP-adresser eller kombinasjoner av alder, kjønn og bosted. Selv om en enkelt IP-adresse ikke navngir deg, kan den i mange tilfeller spores tilbake til din husholdning eller arbeidsplass. Det er kombinasjonen av data som gjør anonymisering til en kompleks utfordring.

Digitale spor og hverdagslige eksempler

Vi etterlater oss konstante digitale fotavtrykk som ofte regnes som personopplysninger. Dette er informasjon som sjelden tenkes på som sensitive, men som likevel er underlagt strenge personvernregler.

Hva faller under vanlige personopplysninger?

De fleste er klar over at kontaktopplysninger som adresse, telefonnummer og e-post er personopplysninger. Likevel er det andre kategorier som er minst like viktige å kjenne til: Digitale spor: Dette inkluderer nettleserhistorikk, kjøpsmønstre, brukerkontoer og stedsdata fra mobiltelefonen din. Visuelt og biometrisk: Bilder, lydopptak, fingeravtrykk og til og med irismønster brukes i økende grad til autentisering. Loggdata: Bruk av adgangskort på arbeidsplassen eller data fra treningsklokker regnes også som personopplysninger fordi de kan si noe om dine daglige vaner.

Særlige kategorier: Informasjonen som krever ekstra beskyttelse

Enkelte typer informasjon har et høyere beskyttelsesbehov fordi de kan brukes til diskriminering eller innebærer stor risiko for individet. Dette omtales ofte som hva er særlige kategorier av personopplysninger.

Dette omfatter informasjon om helseforhold, genetiske og biometriske data, politisk, religiøs eller filosofisk overbevisning, etnisitet, fagforeningsmedlemskap og seksuelle forhold. Behandlingen av denne typen informasjon er strengt regulert, og virksomheter som håndterer dette har omfattende plikter for å sikre at informasjonen ikke kommer på avveie. For å forstå omfanget av dette, bør man sette seg inn i sensitive personopplysninger eksempler for å sikre etterlevelse.

Viktigheten av å skille mellom anonymisering og pseudonymisering

En vanlig misforståelse er at data er anonyme bare fordi navnet er fjernet. Pseudonymisering innebærer at man erstatter navnet med en kode, men nøkkelen for å koble koden tilbake til personen eksisterer fortsatt.^[1] Slike data regnes fremdeles som personopplysninger.

Anonymisering betyr derimot at koblingen til personen er fjernet permanent og ugjenkallelig. Mange virksomheter tror feilaktig at de har anonymisert dataene sine, mens de i realiteten sitter på pseudonymiserte data som fortsatt faller inn under personvernlovgivningen. Å forstå dette skillet er avgjørende for å unngå alvorlige feilhåndteringer og for å overholde hva omfattes av personopplysningsloven korrekt.

Kategorisering av personopplysninger

For å vite hvilket beskyttelsesnivå som kreves, må man vite hvilken kategori informasjonen tilhører.

Alminnelige opplysninger

Navn, adresse, e-post, IP-adresse

Moderat - krever standard sikring

Særlige kategorier

Helseopplysninger, politisk syn, genetikk

Høyt - krever svært streng sikring

Hverdagens personopplysninger for en ansatt

Erik, en IT-konsulent i Oslo, tror ofte at hans personopplysninger bare er navnet hans i firmaets oversikt. Men i løpet av en dag genererer han langt mer data enn det.

Når han bruker adgangskortet for å komme inn på kontoret, loggføres tidspunktet. Samtidig registrerer nettverkstrafikken på PC-en hans hvilke sider han besøker, og smartklokken hans måler pulsen gjennom hele arbeidsdagen.

Erik innså etter en gjennomgang av bedriftens personvernerklæring at alle disse datapunktene, når de sees under ett, skaper et detaljert bilde av hans rutiner og helse.

Han forstår nå at selv små spor i hverdagen er personopplysninger, og at han som ansatt har rett til å vite hvordan arbeidsgiveren benytter disse sammensatte datamengdene.