🌐 Supportförklaring: Varför klassificeras resplaner som personuppgifter enligt GDPR?

Denna sida förklarar varför platsbaserade resregister ingår i denna kategori och varför hanteringen av deras lagringstid måste skötas noggrant.

Tack för att ni söker klarhet i varför resinformation, såsom resplaner och flyguppgifter, flaggas av vårt system som uppgifter som kräver GDPR-efterlevnad. Många klienter antar inledningsvis att endast uppenbart känsliga uppgifter (såsom hälso- eller finansiella register) omfattas av GDPR. Enligt förordningen är dockall information som direkt eller indirekt kan identifiera en person att betrakta som personuppgifter.

1. GDPR:s definition av personuppgifter

Den allmänna dataskyddsförordningen (GDPR), iArtikel 4(1), definierar personuppgifter som:

"varje upplysning som avser en identifierad eller identifierbar fysisk person ('registrerad')."

Detta innefattar identifierare såsom namn, identifikationsnummer, lokaliseringsuppgifter eller en eller flera faktorer som är kännetecknande för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

2. Varför resinformation uppfyller definitionen

Resplaner och flyguppgifter klassificeras som personuppgifter eftersom de innehållerlokaliseringsuppgifter kopplade till en specifik tidpunkt och individ:

• Platsspårning:En flygbiljett eller resplan dokumenterar explicitvaren namngiven person befann sig (avreseflygplats) ochvartde var på väg (ankomstflygplats) vidspecifika datum och tidpunkter.

• Identifierbarhet:Denna detaljerade information om en persons rörelser och schema möjliggör identifiering, lokalisering eller skapande av en profil baserad på personens resehistorik.

Även om det inte rör sig om "känsliga uppgifter" (vilket innefattar hälsa, politiska åsikter eller religion), klassificeras det ändå sompersonuppgiftersom måste skyddas.

3. Rättsligt prejudikat: Det danska rättsfallet som exempel

Denna klassificering stöds av rättsliga prejudikat som fastställts inom Europeiska unionen.

📰Fallexempel:Kort efter GDPR:s ikraftträdande drevDanska Datatilsynet (Datatilsynet)framgångsrikt ett ärende mot ett taxibolag. Företaget befanns ha brutit mot reglerna eftersom de hade lagrat kundernas taxibokningsdata (som spårar en persons resa från punkt A till punkt B vid en specifik tidpunkt) under för lång tid utan ett legitimt syfte.

• Källa:Datatilsynet indstiller taxaselskab til bøde på 1.2 mio. kr.(En specifik hänvisning till detta ärende finns på Datatilsynets webbplats, mars 2019).

Detta avgörande bekräftade att lokaliserings- och rörelseregister, såsom de som återfinns i resplaner, omfattas av strikta GDPR-regler för lagringstider.

4. Vårt efterlevnadskrav

Ni angav att vårt system förväntades fånga upp enbart känsliga och konfidentiella uppgifter. Även om systemet utan tvekan hanterar sådant, är dess kärnfunktion att säkerställa efterlevnad av GDPR:sPrincip om lagringsminimering(Artikel 5(1)(e)):

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

Därför flaggar vi resplaner eftersom:

1. De utgörPersonuppgifter(lokaliserings- och rörelsespårning).

2. När resan är genomförd är det ursprungliga behandlingsändamålet(t.ex. bokning, fakturering) vanligtvis avslutat.

3. Utan ettnytt, dokumenterat och legitimt syfte för fortsatt lagring (t.ex. ett specifikt rättsligt krav för skatterevision) måste dessa uppgifterraderas på ett säkert sätt.

Vårt system hjälper er att uppfylla denna skyldighet genom att identifiera dessa register när deras lagringsändamål har löpt ut.