GDPR-tip: Er skostørrelser og videooptagelser personoplysninger?

Hvad er personoplysninger, og hvor går grænsen mellem almindelige og følsomme personoplysninger? Er du i tvivl, så er du ikke alene. Og svaret er ikke altid helt enkelt.

AU arbejder hver dag for at støtte forskere i det til tider komplicerede arbejde med at leve op til GDPR-reglerne. I Databeskyttelsesenheden på AU oplever man, at kategorisering af personoplysninger ofte giver anledning til tvivl – er det personoplysninger, og er de følsomme eller ej?

En af dem, som genkender tvivlen, er Karen Thodberg, seniorforsker ved Institut for Husdyr- og Veterinærvidenskab – ANIVET Adfærd, Stress og Dyrevelfærd. Som eksempel fremhæver hun et forskningsprojekt om arbejdsulykker i landbruget, hun står i spidsen for.

”Vi videofilmede personale, når de arbejdede med køerne, og jeg tænkte helt intuitivt, at der var tale om følsomme personoplysninger. Men det var der ikke,” siger hun.

GDPR

AU’s websider om GDPR til forskere indeholder nyttige informationer om, hvordan du sikrer personoplysninger i dine forskningsprojekter. I løbet af efteråret sætter AU’s databeskyttelsesenhed fokus på forskellige aspekter af GDPR gennem forskeres dilemmaer og erfaringer, når de arbejder med GDPR. Denne gang handler det om personoplysninger.  

Følsom eller ej

AU’s databeskyttelsesrådgiver (DPO) Søren Broberg Nielsen, medgiver, at området kan være svært at navigere i.

”For at være en følsom personoplysning skal den i højere grad end almindelige personoplysninger udgøre en risiko for den registrerede persons rettigheder og frihedsrettigheder. Og det var ikke tilfældet i Karen Thodbergs forskningsprojekt”, siger han og opfordrer til, at man kigger på databeskyttelsesforordningens liste over, hvad der kategoriseres som følsomt. Ifølge den er følgende personoplysninger kategoriseret som følsomme:

  • Race eller etnisk oprindelse  
  • Politisk, religiøs eller filosofisk overbevisning  
  • Fagforeningsmæssigt tilhørsforhold 
  • Behandling af genetiske data og/eller biometriske data med det formål entydigt at identificere en fysisk person 
  • Helbredsoplysninger 
  • Oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering

Derudover er behandling af CPR-numre og oplysninger om strafbare forhold i en kategori for sig.

Men hvad er så almindelige personoplysninger?

Personoplysninger er mange ting

”En tommelfingerregel er, at de almindelige personoplysninger er alle andre oplysninger end dem, der er følsomme eller vedrører strafbare forhold, og som kan henføres til en fysisk person – det kan være alder, køn, højde, mailadresse, vægt, CV og eksamensresultater for bare at nævne nogle. Mange bliver overrasket over, at denne type oplysninger ikke er følsomme. Men det er de altså ikke”, siger Søren Broberg Nielsen.

Til tider handler tvivlen dog ikke om, hvorvidt en personoplysning er følsom eller ej. Faktisk kan det i sig selv være en udfordring at finde ud af, hvorvidt der overhovedet er tale om personoplysninger. For alder, køn, højde osv. er ikke per definition personoplysninger.

”Hvis oplysningen kan henføres til en fysisk person, er det en personoplysning – og her er konteksten ganske ofte afgørende. For eksempel er en skostørrelse som udgangspunkt ikke en personoplysning, men hvis der kun er én person i en specifik landsby, der bruger str. 49, så er sagen en anden. På samme måde er det ikke umiddelbart personoplysninger, hvis man har fundet rotter på en ejendom – men hvis ejendommen f.eks. ejes af en fysisk person eller en enkeltmandsvirksomhed, så er der tale om personoplysninger”, forklarer Søren Broberg Nielsen.

GDPR-websider og kontaktoplysninger

Det gør en forskel for behandling af forskningsdata

Og hvorfor er det så vigtigt at kunne kategorisere personoplysningerne korrekt? Det er det, fordi det har betydning for, hvordan man behandler personoplysninger i forskning i henhold til databeskyttelsesreglerne.

”Det er vigtigt at få afgjort, om éns forskningsprojekt har med personoplysninger at gøre og af hvilken type – ellers risikerer man enten at gøre det alt for besværligt for sig selv, eller i værste fald at bringe personers rettigheder i fare. Ingen af delene er hensigtsmæssige”, siger Søren Broberg Nielsen og opfordrer forskerne til at orientere sig på AU’s side om GDPR – eller tage kontakt til den lokale databeskyttelseskoordinator på fakultetet, hvis de er i tvivl.

Mere information 

Læs også artiklen fra august med Caroline Howard Grøn i serien GDPR-tip om forskellen på samtykke og forskningshjemmel.

Næste gang

Professor Niels Brügger om brugen af personoplysninger fra sociale medier i forskning.