Vad en personuppgift är har jag redan berört i ett tidigare inlägg, läs mer om det här. I detta inlägg tänkte jag istället försöka bringa lite klarhet i den begreppsförvirring som jag ofta springer på när jag är ute och diskuterar frågor om personuppgiftslagen (PUL), dataskydd eller GDPR.

Både PUL och GDPR gör skillnad på personuppgifter och känsliga personuppgifter, bland annat vid fastställande av vilken laglig grund den personuppgiftsansvarige har för behandlingen men även vilka tekniska och organisatoriska skyddsåtgärder som anses lämpliga att införa. I GDPR benämns dessa uppgifter i förordningstextens art 9 för särskilda kategorier av personuppgifter och i stödtexterna till förordningen nämns endast begreppet känsliga personuppgifter någon enstaka gång. För att ytterligare späda på förvirring talar Datainspektionen ibland om integritetskänsliga personuppgifter.

Men vad som är känsligt för gemene man behöver inte nödvändigtvis motsvara vad som anses utgör känsliga personuppgifter enligt PUL och GDPR.

Jag tänkte därför försöka mig på att bryta ner de olika typerna av personuppgifter med exempel.

Personuppgifter

Enligt definitionen i GDPR (se art 4) är en personuppgift ”varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare. som ett namn, ett identifikationsnummer […]”

Namn, personnummer m.fl. utgör personuppgifter som direkt identifierar en person. Ett ip-nummer kan i vissa fall istället indirekt identifiera en person. Oavsett om uppgiften direkt eller indirekt identifierar en person utgör den en personuppgift.

Känsliga personuppgifter

Känsliga personuppgifter enligt GDPR omfattar:

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person
  • uppgifter om hälsa
  • uppgifter om en fysisk persons sexualliv eller sexuella läggning

Särskilt integritetskänsliga uppgifter

Särskilt integritetskänsliga uppgifter är uppgifter inom framför allt bank- och försäkringsområdet som avser enskilds personliga eller ekonomiska förhållanden, dvs. t.ex.

  • kontonummer
  • uppgift om försäkringsskydd
  • utbetalningar av ersättningar
  • kontohavanden

Även om dessa uppgifter i folkmun skulle anses som känsliga utgör de inte per definition känsliga personuppgifter, vare sig enligt PUL eller GDPR. Datainspektionen har däremot uttalat denna typ av uppgifter ska betraktas som känsliga personuppgifter vid fastställande av vilka lämpliga skyddsåtgärder den personuppgiftsansvarige ska vidta för att skydda de behandlade uppgifterna.

Har du någon fråga kring de olika typerna av personuppgifter? Lämna gärna en fråga eller kommentar nedan.