Vad är personuppgifter och behandling av personuppgifter?

Personuppgifter är uppgifter som kan identifiera en fysisk levande person

Med personuppgifter avses varje uppgift som avser en identifierad eller identifierbar fysisk, levande person ( 1 kap. 6 § BDL). Exempel på personuppgifter är

• namn
• personnummer
• fotografi
• ljudinspelning
• telefonnummer
• registreringsnummer på fordon
• diarienummer
• ip-adress
• kakor (cookies).

En personuppgift kan knytas till en person antingen direkt eller indirekt. Namn och personnummer är exempel på direkta personuppgifter.

Telefonnummer, registreringsnummer på fordon, diarienummer och ip-adress är exempel på uppgifter som kan knytas till en fysisk person indirekt.

För att kunna göra det behövs ytterligare information såsom t.ex. uppgift om vem som är ägare till ett fordon med ett visst registreringsnummer. Det är alltså fråga om personuppgifter så länge någon någonstans kan knyta en uppgift till en levande fysisk person.

Behandling av personuppgifter

Med behandling av personuppgifter menas all hantering som görs med personuppgifter, oavsett om det sker elektroniskt eller på annat sätt. Det kan t.ex. vara att man

• samlar in personuppgifter
• registrerar personuppgifter
• använder personuppgifter
• lagrar personuppgifter
• bearbetar personuppgifter
• sammanställer personuppgifter
• samkör personuppgifter
• skriver ut personuppgifter
• sprider personuppgifter
• förstör personuppgifter.

Även utlämnande av personuppgifter som behandlas elektroniskt är en behandling oavsett av om utlämnandet görs muntligen, på papper eller i elektronisk form (se SOU 1997:39 och SOU 2003:40).

Känsliga personuppgifter

Vissa personuppgifter anses vara extra känsliga ur integritetssynpunkt. I brottsdatalagen kallas dessa uppgifter för känsliga personuppgifter (2 kap. 11 § BDL).

Känsliga personuppgifter är

• ras eller etniskt ursprung
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i en fackförening
• genetiska uppgifter
• biometriska uppgifter
• uppgifter om hälsa
• uppgifter om en fysisk persons sexualliv och sexuell läggning.

Exempel på känsliga personuppgifter kan således vara uppgifter om

• en persons medlemskap i ett trossamfund
• att en person har lämnat bidrag till ett politiskt parti
• att en person har skadat sin fot
• att en person är sjukskriven.

Utgångspunkten enligt brottsdatalagen är att känsliga personuppgifter inte alls får behandlas (2 kap. 11 § BDL). Brottsdatalagen tillåter dock att behandling får ske enligt vissa angivna förutsättningar genom att det är föreskrivet i nationell rätt, antingen genom generell reglering (2 kap. 11–14 §§ BDL) eller i sektorsspecifik reglering.

Sökförbud på känsliga uppgifter

Brottsdatalagen har som utgångspunkt ett generellt sökförbud på känsliga personuppgifter. Undantag medges i vissa fall då syftet med sökningen är avgörande (2 kap. 14 § BDL). T.ex. är Kristen ett vanligt personnamn som man får använda vid sökning om syftet är att identifiera en person, men det är inte tillåtet som sökbegrepp om syftet är att kartlägga uppgifter som avslöjar religiös övertygelse. Syftet och ändamålet med en sökning hos Skatteverket måste således vara att t.ex. utöva tillsyn, ta fram verksamhetsstatistik eller för registervård.