Personuppgift

Information som direkt eller indirekt handlar om en levande person.

Begreppet defineras i 3 § personuppgiftslagen (1998:204). Eftersom personuppgiftslagen är den svenska implementationen av dataskyddsdirektivet (95/46/EG) är även dess definition, i artikel 2 a), av begreppet intressant:

varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet

Definitionen är mycket bred och omfattar förutom exempelvis namn och personnummer även information som bara indirekt handlar om en person (exempelvis ett målnummer i en dom) eller som kräver extra information för att kunna hänföras till en person (som ett tilldelat IP-nummer vid en viss tidpunkt).

Ostrukturerade personuppgifter

Personuppgiftslagen (och dataskyddsdirektivet) skrevs i första hand för att skydda enskilda mot integritetskränkningar genom insamling av omfattande och/eller känsliga uppgifter i datoriserade register. Sådana register utmärks av att man lätt kan få fram all information som gäller en viss person, eller kan samköra uppgifter i två eller flera register för att göra informationssammanställningar om en viss person. För att få ha ett sådant register måste den personuppgiftsansvarige se till att följa ett ganska omfattande regelverk (den s.k. hanteringsmodellen).

I många sammanhang förekommer personuppgiter som inte är strukturerade på ett sånt sätt att det lätt går att sammanställa eller söka fram uppgifter om en enskild person - exempelvis omnämnande i löpande text, digitalfotografier på en person, eller digitala ljud- och videoinspelningar. För att hantera sådana ostrukturerade personuppgifter behöver den personuppgiftsansvarige bara följa en enklare reglering (den s.k. missbruksmodellen).

Gränsen mellan strukturerade och ostrukturerade personuppgifter är inte knivskarp -- allt som finns lagrat digitalt är strukturerat i någon mån, och ofta är frågan om det går sammanställa eller söka mer beroende av verktygen som används, snarare än informationsmängden som sådan. Lagstiftningen har, bland annat med tanke på den tekniska utvecklingen, inte utformats med fasta ramar och kriterier för var gränsen ska gå. För en mer genomgående diskussion om gränsdragningen, se Prop. 2005/06:173, avsnitt 8.1.