🌐 Supportförklaring: Varför klassificeras resplaner som personuppgifter enligt GDPR?

Denna sida förklarar varför platsbaserade resregistreringar ingår i denna kategori och varför deras lagring måste hanteras noggrant.

Tack för att ni söker förtydligande kring varför reseinformation, såsom resplaner och flyguppgifter, flaggas av vårt system som data som kräver GDPR-efterlevnad. Många klienter antar inledningsvis att enbart uppenbart känsliga uppgifter (såsom hälso- eller ekonomiska uppgifter) omfattas av GDPR. Under förordningen gäller dock att all information som direkt eller indirekt kan identifiera en person anses vara personuppgifter.

1. GDPR:s definition av personuppgifter

Den allmänna dataskyddsförordningen (GDPR), i artikel 4(1), definierar personuppgifter som:

"varje upplysning som avser en identifierad eller identifierbar fysisk person ('registrerad')."

Detta innefattar identifierare såsom namn, identifikationsnummer, lokaliseringsuppgifter eller en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen.

2. Varför reseinformation uppfyller definitionen

Resplaner och flyguppgifter klassificeras som personuppgifter eftersom de innehåller lokaliseringsuppgifter kopplade till en specifik tidpunkt och person:

• Platsspårning: En flygbiljett eller en resplan dokumenterar uttryckligen var en namngiven person befann sig (avgångsflygplats) och vart de var på väg (ankomstflygplats) vid specifika datum och tidpunkter.

• Identifierbarhet: Denna detaljerade information om en persons rörelser och schema möjliggör identifiering, lokalisering eller skapandet av en profil baserad på personens resehistorik.

Även om det inte rör sig om "känsliga uppgifter" (vilket innefattar hälsa, politiska åsikter eller religion), klassificeras det fortfarande som personuppgifter som måste skyddas.

3. Juridiskt prejudikat: Det danska rättsfallet

Denna klassificering stöds av juridiska prejudikat etablerade inom Europeiska unionen.

📰 Fallexempel: Kort efter GDPR:s ikraftträdande drev Danmarks Datatilsyn (Datatilsynet) framgångsrikt ett ärende mot ett taxibolag. Företaget befanns ha brutit mot reglerna eftersom de hade lagrat kundernas taxibokningsuppgifter (som spårar en persons resa från punkt A till punkt B vid en specifik tidpunkt) för länge utan ett legitimt ändamål.

• Källa: Datatilsynet indstiller taxaselskab til bøde på 1.2 mio. kr. (En specifik hänvisning till detta ärende finns på Datatilsynets webbplats, mars 2019).

Detta avgörande bekräftade att plats- och rörelseposter, såsom de som återfinns i resplaner, omfattas av strikta GDPR-regler för lagring.

4. Vårt efterlevnadskrav

Ni angav att vårt system förväntades fånga upp enbart känsliga och konfidentiella uppgifter. Även om det självfallet hanterar sådana uppgifter är dess kärnfunktion att säkerställa efterlevnad av GDPR:s princip om lagringsminimering (artikel 5(1)(e)):

Personuppgifter ska förvaras i en form som möjliggör identifiering av registrerade under en period som inte är längre än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

Därför flaggar vi resplaner eftersom:

1. De utgör personuppgifter (plats- och rörelsespårning).

2. När resan är avslutad är det ursprungliga behandlingsändamålet (t.ex. bokning, fakturering) vanligtvis uppfyllt.

3. Utan ett nytt, dokumenterat och legitimt ändamål för lagring (t.ex. ett specifikt rättsligt krav för skatterevision) måste denna data raderas på ett säkert sätt.

Vårt system hjälper er att uppfylla denna skyldighet genom att identifiera dessa poster när deras lagringsändamål har löpt ut.