I min yrkesroll är det inte ovanligt att jag springer på frågeställningar som:

  1. Vad är en personuppgift?
  2. Om vi tar bort namn och personnummer har vi väl anonymiserat uppgifterna?
  3. IP-nummer kan väl inte vara en personuppgift? Osv osv.

Den legala definitionen av en personuppgift återfinns i art 4. Där anges kortfattat att en personuppgift är en uppgift som direkt eller indirekt identifierar en person. En uppgift behöver alltså inte direkt identifiera en person (som t.ex. ett namn, en bild eller ett personnummer) utan det räcker med att uppgifterna indirekt kan härledas till en person. Av den anledning kan titlar och andra referenser utgöra personuppgifter, t.ex. kan en referens till ”kungen i Sverige” innebära att man har att göra med personuppgifter.

Även IP-nummer har betraktats som en uppgift som i vissa fall kan anses indirekt utpeka en person.

Sammanfattningsvis är det avgörande om det av uppgiften går att fastställa vem uppgiften avser som är avgörande om uppgiften är en personuppgift. Så ja, om dina system även efter borttagande av namn och personnummer innehåller uppgifter som går att hänföras till en person så är informationen att betraktas som personuppgifter. Vilket i syn tur innebär att GDPR ska tillämpas på informationsmängden.