Hvad er hovedreglen omkring persondata?

Hvornår er noget en personoplysning? Hovedreglen og den grå zone.

Vi hører konstant om persondata, og hvor vigtigt det er at beskytte dem. Men hvad er egentlig en personoplysning? Hovedreglen er enkel, men i praksis kan den være overraskende nuanceret. En oplysning betragtes som en personoplysning, hvis den direkte eller indirekte kan identificere en levende person.

Det åbenlyse er nemt at få øje på: Navn, adresse, CPR-nummer, telefonnummer og e-mailadresse er alle klare eksempler på personoplysninger. Men definitionen rækker langt ud over disse traditionelle identifikatorer.

Tænk for eksempel på en kombination af oplysninger: En kvinde, født i 1975, bor i Aarhus C, arbejder som læge på et specifikt hospital, og kører en rød sportsvogn. Hver for sig er disse oplysninger måske ikke nok til at identificere en specifik person. Men samlet set indsnævrer de gruppen af potentielle personer betydeligt, og det kan være nok til at gøre det til en personoplysning, især hvis der kun er én person, der matcher alle disse kriterier.

Det er netop denne kombinationsmulighed, der gør afgrænsningen udfordrende. Selv tilsyneladende uskyldige oplysninger som IP-adresser, cookies, GPS-data, søgehistorik, sundhedsdata, fagforeningsmedlemskab eller politisk overbevisning kan blive personoplysninger i den rette kontekst.

Konteksten er afgørende. En jobansøgning, hvor der angives køn og alder, er naturligvis personhenførbar. Men den samme information i en anonymiseret statistik over ansøgere til en bestemt stilling er det ikke nødvendigvis.

Grænsen mellem personoplysninger og ikke-personoplysninger er derfor flydende og afhænger af, hvor let det er at identificere en person ud fra den givne information. Kan oplysningen, alene eller i kombination med andre tilgængelige oplysninger, bruges til at udpege en konkret person? Hvis svaret er ja, er der tale om en personoplysning.

Denne dynamiske forståelse af personoplysninger er vigtig, fordi den afspejler den teknologiske udvikling. Med Big Data og avancerede analysemetoder bliver det stadig nemmere at sammenstille data og identificere personer. Derfor er det vigtigt at være opmærksom på, hvordan selv tilsyneladende anonyme data kan blive personhenførbare.

Det er altså ikke nok at kigge på den enkelte oplysning isoleret set. Man skal også vurdere, om den i kombination med andre oplysninger kan føre til identifikation. Det kræver en konkret og kontekstafhængig vurdering hver gang. Tvivlstilfælde bør altid behandles som personoplysninger for at sikre den bedst mulige beskyttelse af privatlivets fred.