Skal man etterleve de nye personvernreglene (herunder GDPR), så er det helt avgjørende at man vet hva en «personopplysning» er. En personopplysning består av tre elementer: En fysisk person (som kan identifiseres), opplysninger og en kobling mellom personen og opplysningene. Det hevdes at forståelsen av «personopplysninger» er mer omfattende under personvernforordningen enn etter dagens regler, men stemmer det?
Etter personvernforordningen (GDPR) er en personopplysning: «enhver opplysning om en identifisert eller identifiserbar fysisk person» (artikkel 4 nr. 1). For å fastslå om en opplysning er en personopplysninger, må det altså foreligge tre forhold: En fysisk person som kan identifiseres, opplysninger, og en kobling mellom opplysningene og den fysiske personen.
En fysisk person er enhver person som lar seg identifisere. Det er altså bare fysiske personer (dvs. mennesker) som er omfattet av personvernreglene, slik at opplysninger om juridiske personer (som selskap, organisasjoner mv.) anses ikke som personopplysninger (og reguleres derfor ikke av personvernforordningen). I regelverket omtales den fysiske personen som personopplysninger kan knyttes til som «den registrerte» (eller «data subject»). Opplysninger om avdøde personer regnes ikke som personopplysninger, men dersom opplysninger om avdøde personer kan innebære opplysninger om levende personer, så foreligger det personopplysninger.
For at det skal dreis seg om opplysninger om en fysisk person, må det altså være mulig å identifisere personen. Identifikasjon kan skje direkte eller indirekte, og som regel må det foreligge opplysninger som bidrar til å identifisere fysiske personer (identifikatorer) som navn (som må være tilstrekkelig presist, slik at Hans Hansen vil ikke være tilstrekkelig, men et navn som fire eller færre personer innehar vil være det), et identifikasjonsnummer (som fødselsnummer) eller ett «eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet» som det heter i personvernforordningen. I forordningen (fortalen punkt 30) er det listet opp visse elementer som kan knyttes til fysiske personer, som «online-identifikatorer via utstyr, programmer, verktøy og protokoller, f.eks. IP-adresser, informasjonskapsler eller andre identifikatorer, f.eks. radiofrekvensidentifikasjonsmerker». En kombinasjon av ulike forhold som er tilstrekkelig til å identifisere en person vil også være identifikatorer (i fellesskap) som kan identifisere en fysisk person. Gjelder opplysningene en gruppe personer, må altså det være mulig å knytte opplysningene til enkeltpersoner i gruppen, eller at enkelte personer kan skilles ut fra gruppen.
Personer kan identifiseres direkte, som vil være navn eller også adresse, eller indirekte, som kan være telefonnummer som det da må benyttes andre opplysninger for å identifisere personen (som å slå opp i et register), bilnummer, fødelsnummer osv. Foreligger det ikke et rimelig unikt navn, så må det altså som regel til flere opplysninger samlet for å identifisere en person. Fragmentert informasjon kan derfor også være personopplysninger, dersom opplysningene er tilstrekkelig til å kunne identifisere personer. Det kreves ikke at en person skal kunne identifiseres direkte, og også personer som kan identifiseres gjennom andre hjelpemidler enn de foreliggende opplysninger omfattes også av reglene (siden det brukes «identifiserbare» i definisjonen, se ovenfor). For om en person kan identifiseres, skal det tas i bruk «til alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking» (fortalens punkt 26). En slik vurdering vil også medføre at dersom teknologien gjør det enklere å identifisere personer, som bedring i søkemuligheter, tilgjengelighet av data og ansiksgjenkjenning, så kan dette gjøre at flere opplysninger kan anses som personopplysninger.
Om et bilde er en personopplysning blir et spennende spørsmål fremover, og i forordningen nevnes ansiktsbilder som et eksempel på en identifiserende opplysning (til og med en biometrisk opplysning, som anses som en særskilt kategori (sensitiv) personopplysning). Men det er i dag klart at ansiktsbilder i seg selv ikke i alle tilfeller er identifiserende, for det krever kombinasjonen av kunnskap/kjennskap til vedkommende. Når bildegjenkjenningsteknologien blir bedre, så vil dette imidlertid kunne endre seg…
Det må være en kobling mellom den fysiske personen om opplysninger. I personvernforordningen er dette ordet «om» (i den engelske teksten av forordningen er det benyttet «relating to»), mens i dagens personopplysningslov står det «kan knyttes til». Endringen i ordbruken vil trolig ikke bety noen forskjell i hvordan reglene skal forstås. Etter personvernforordningen er det ikke et strengt krav om kobling mellom den fysiske personen og opplysningen, som ordbruken i den engelske teksten også viser. At det kan være koblinger mellom opplysninger og personen som ikke er så klare, kan f.eks. være prisen på et hus. At et hus har en viss pris/verdi vil si noe om vedkommende som eier huset, og blir derfor ansett å være en personopplysning.
Det er heller ikke noe krav om at det er en direkte kobling mellom personen og opplysningene; det er tilstrekkelig at det er en indirekte kobling, som at man må via en annen opplysning for å identifisere personen. At man kjenner til at en person har en arvelig sykdom etter sin far, vil dermed være en personopplysning også om dennes barn.
I vurderinger av om opplysninger kan kobles til fysiske personer er det tre elementer som kan ha betydning: Innholdet av opplysningene kan være av slik art at de kan kobles til personen, ved at de omhandler personen. Formålet er et element som kan sies å være tilstede når hensikten med opplysningene er f.eks. å vurdere personen, behandle personen eller annet; opplysningene understøtter altså hensikten med behandlingen av opplysningene. Et tredje element som kan tilsi at det foreligger en kobling, er resultatet av opplysningene, ved at opplysningene vil ha betydning for den fysiske personens rettigheter eller interesser. Det anses å være tilstrekkelig at den fysiske personen vil bli behandlet forskjellig eller ha en annen situasjon som følge av opplysningene. Det er nok at ett av elementene foreligger for at opplysningene skal kunne sies å kunne knyttes til en fysisk person.
Opplysningene som kan kobles til den fysiske personen kan være av enhver art. Selve identiteten til vedkommende (som er en forutsetning for at det foreligger en fysisk person, se ovenfor) kan være en personopplysning. Men også alle opplysninger som kan kobles til den fysiske personen vil være en personopplysning. Opplysninger skal derfor forstås i den videste betydning, så det kan være alle opplysninger som kan kobles til en person. Det er også intensjonen bak personvernforordningen (som det var for personverndirektivet og dagens personopplysningslov) at personopplysninger kan være alle opplysninger som kan kobles til en fysisk person. Opplysningene kan være objektive, som at «X er 43 år», eller de kan være subjektive, som vurderinger slik som «X er en dårlig betaler».
Hvilket format opplysningen foreligger i, har ingen betydning. I følge forordningen skal denne være teknologinøytral, så alle måter å behandle personopplysninger omfattes. Både automatisert behandling (ved it-systemer) og ikke-automatisert behandling (ved papir) omfattes. For sistnevnte, må opplysningene inngå i eller skal inngå i et register, som innebærer at opplysningene må struktureres etter bestemte kriterier.
Enkelte personopplysninger er imidlertid ikke omfattet av personvernforordningen, som opplysninger som fysiske personer behandler i «rent personlige eller familiemessige aktiviteter, og som derfor ikke er knyttet til en yrkes- eller forretningsvirksomhet» (men behandlingsansvarlige og databehandlere som stiller til rådighet midler for slik behandling omfattes av forordningen).
Opplysningene kan være mer eller mindre sensitive, og i personvernforordningen er det skilt ut en del opplysninger som antas å være mer sensitive, som omtales som «særskilte kategorier personopplysninger» i forordningen og hvor behandlingen av disse opplysningene er strengere regulert. Dette er opplysninger som helse, rase, seksuelle forhold, religion osv. Mens opplysninger som man skulle anta var sensitive for mange, som finansiell situasjon, kontoopplysninger mv. har ikke spesielt vern, se artikkel 9 i forordningen.
Opplysninger som «kobles fra» en identifiserbar fysisk person, dvs. avidentifiseres eller anonymiseres, vil ikke anses som personopplysninger, og kan – forutsatt at det skjer en fullstendig anonymisering – kunne behandles uten at kravene etter forordningen gjelder. Men med utviklingen i teknologien blir det enklere å «reidentifisere» opplysninger, og dette må hensyntas i vurderingen av om personopplysninger er reelt anonymisert, eller om opplysningene kan kobles til fysiske personer alle midler som det «med rimelighet» kan tenkes tas i bruk, se ovenfor. Anonymiserte opplysninger kan derfor med den tekniske utviklingen bli ansett å være personopplysninger.
Merk at begrepet «Personal identifiable information» (PII) som benyttes innenfor informasjonssikkerhet kan avvike i sitt innhold fra det som etter GDPR er en «personopplysning», og PII bør derfor ikke benyttes synonymt med «personopplysning» etter GDPR eller personopplysningsloven.
Er så «personopplysninger» noe annet under GDPR enn under dagens personopplysningslov?
Nei. Etter dagens personopplysningslov er personopplysninger «opplysninger og vurderinger som kan knyttes til en enkeltperson» (se § 2 punkt 1). Personopplysningsloven er basert på personverndirektivet av 1995, og definisjonen av personopplysninger i personverndirektivet er tilsvarende som definisjonen som er benyttet i personvernforordningen (se ovenfor). Etter personverndirektivet var også kriteriet om opplysninger med rimelige midler kunne tilbakeføres til fysiske personer. Selv om den tekniske utviklingen medfører en endring i hva som anses som personopplysninger, vil ikke personopplysninger være å forstå på en annen måte under personvernforordningen enn det var under personopplysningsloven av 2000 og personverndirektivet.