Hvornår er der tale om en personoplysning?

Hvornår er en oplysning en personoplysning? – En grænsegang i en digital verden

I en verden præget af digitalisering og datastrømme er beskyttelsen af personoplysninger mere afgørende end nogensinde. Men hvornår er en oplysning egentlig en personoplysning, der kræver særlig beskyttelse? Det er et spørgsmål, der kræver en nuanceret forståelse. Den gængse definition, at en personoplysning er enhver oplysning, der kan identificere en enkeltperson, er både sand og forsimplet.

Lovgivningen, især GDPR (General Data Protection Regulation), fokuserer på identifikation eller muligheden for identifikation. Dette betyder, at en oplysning ikke nødvendigvis behøver at identificere en person direkte for at være en personoplysning. Kombinationen af flere, tilsyneladende uskyldige oplysninger, kan føre til identifikation. Lad os illustrere med nogle eksempler:

• Direkte identifikation: Et personnummer er et åbenlyst eksempel. Et CPR-nummer identificerer en person unikt og utvetydigt i Danmark. Ligeledes gælder dette for et pasnummer eller et førerkortnummer.

• Indirekte identifikation: Et billede af en person i en specifik kontekst kan være en personoplysning, især hvis det kombineres med andre oplysninger. Et billede af en person ved et bestemt busstoppested, kombineret med information om dennes arbejdsadresse og arbejdstid, kan gøre det muligt at identificere personen med stor sandsynlighed.

• Potentiel identifikation: En e-mailadresse alene er måske ikke en personoplysning, men kombineret med et navn kan den hurtigt pege mod en specifik person. Ligeledes kan en IP-adresse, selvom den er dynamisk, i kombination med andre data pege mod en specifik person.

• Sensitive personoplysninger: Visse kategorier af personoplysninger betragtes som særligt følsomme og kræver en endnu højere grad af beskyttelse. Dette omfatter oplysninger om racemæssig eller etnisk oprindelse, politiske synspunkter, religiøs eller filosofisk overbevisning, fagforeningstilhørsforhold, genetiske data, biometriske data til entydig identifikation, sundhedsdata eller data vedrørende en persons seksuelle liv eller seksuelle orientering.

Grænsen mellem personoplysning og ikke-personoplysning er flydende. Det afhænger af konteksten og hvilke andre data, der er tilgængelige. En oplysning, der i en situation ikke er en personoplysning, kan blive det i en anden. En virksomhed skal derfor altid foretage en vurdering af, om de oplysninger, de behandler, kan føre til identifikation af en person, enten direkte eller indirekte. Denne vurdering skal tage højde for alle relevante omstændigheder og de tekniske muligheder for at identificere en person.

Konklusion: At definere en personoplysning kræver mere end blot at se på en enkelt oplysning. Det handler om at vurdere den potentielle identifikation og den kontekst, hvori oplysningerne anvendes. En forsigtig og ansvarlig tilgang er essentiel for at sikre beskyttelsen af individers personlige integritet i en digital verden, hvor data konstant samles og behandles. Tvivl skal altid komme den beskyttede data til gode.