Personlig information, private data, personfølsomme oplysninger, personhenførbar information, personlige data, eller blot personoplysning. Kært barn har mange navne. Men hvad er det personlige egentlig i personlig information? Hvad er det, der gør, at noget information klassificeres som personlig, mens anden information klassificeres som upersonlig?
Vi taler om det hele tiden – personlig information og data – ikke mindst i kølvandet på implementeringen af The General Data Protection Regulation populært kendt som GDPR. Men for mig at se, er det ikke særlig klart, hvad det er, vi taler om. For hvad mener vi egentlig med ‘personlig’? Og er det det samme som ‘privat’?
I GDPR, på dansk også kendt som Databeskyttelsesforordningen, er personlige data eller personoplysninger defineret som “enhver form for information om en identificeret eller identificerbar fysisk person”. Identifikationen kan foregå enten direkte eller indirekte via en indikator såsom navn, identifikationsnummer, lokaliseringsdata, IP adresse og lignende. Relationen mellem den fysiske person og informationen kan foregå via flere led og identifikationen, og kan foregå via sammenkædning af flere forskellige informationer. Relationen mellem individet og informationen kan altså se ud på mange forskellige måder – den behøver slet ikke at være aktuel, men kan blot være en fremtidig relation.
Men hvad består denne relation egentlig i, hvor langt skal vi ud, før der ikke længere er en relation? Er min fars finansielle status f.eks. personlig information om mig, qua vores familierelation? Min fars økonomi siger noget om min socio-økonomiske baggrund. Men er det personhenførbar information om mig? Min far og jeg indgår i mængden af personlig information om hinanden. Mine familieforhold siger noget om mig – de handler om mig, er relateret til mig. Så i princippet må min fars økonomi også tælle med i mængden af min personlige information. Det samme må gælde, når min kusine vælger at sende en dna-prøve til analyse hos et privat firma. Kortlægningen af hendes dna siger også noget om mig. Juridisk set skal disse relationer dog ekspliciteres, før der er tale om personlig information. Der skal som minimum redegøres for et potentiale i en fremtidig relation mellem informationen og et specifikt individ. Det er dermed først min personlige information i det øjeblik relationen mellem mig og informationen ekspliciteres hos dem, der ligger inde med eller anvender informationen. Hvis dna-analysen opbevares fuldt ud anonymiseret, således at der ikke på nogen måde kan etableres en relation til min kusine og dermed heller ikke til mig, så er det ikke medregnet som personlig information.
Som filosof mindes jeg om det klassiske filosofiske spørgsmål “Er træet der, hvis ingen kigger på det?” Et spørgsmål, der ofte affejes som absurd, for selvfølgelig er træet der uafhængigt af, om vi kigger på det eller ej. Ikke desto mindre synes det at være den præmis, der gør sig gældende for personlig information. Information er først/kun personlig, når vi kigger på den som personlig og eksplicit etablerer et nuværende eller potentielt link til et specifikt individ. Informationen eksisterer kun som personlig information, når vi “kigger på den” og linker den til en naturlig person. Hvis informationen er fuldt ud anonymiseret, så kan den være nok så sensitiv i karakter, men den er ikke personlig.
Bemærk i øvrigt, at når vi taler om personlig information eller personhenførbar information, så taler vi oftest om det i termer, der indikerer ejerskab. Min personlige information, din personlige information. Vi skal have kontrol med vores personlige information. I denne forståelse bliver ‘det personlige’ pludselig lig med et ejerforhold. Et ejerforhold, der godt nok defineres af noget sensitivitet eller privathed, men ikke desto mere et ejerforhold. Men det synes at skabe nogle absurde situationer. Er jeg f.eks. medejer af information vedrørende min fars økonomi? Hvis det tæller med som information om mig, så er jeg i princippet. Dermed opstår spørgsmålet om, hvor meget information vi pludselig er medejere af? Samt hvordan vi kan administrere de rettigheder. Hvis vi antager tesen om, at hvert enkelt menneske kan relateres til et hvilket som helst andet menneske inden for fem led, så får vi i yderste konsekvens et verdensomspændende netværk af personlig information, som vi alle er medejere af.
Hvor meget af denne information der skal regnes med som personhenførbart i forhold til hvert enkelt specifikke individ, afhænger af, hvad vi forstår ved det ‘personlige’ i ‘personlig information’ – hvad vi forstår ved den relation, der skal kunne skabes
■ Jeg har ikke svaret på, hvad ’det personlige’ består i, men det er én af de ting vi har sat os for at undersøge nærmere i projektet Don’t Take it Personal.
Om forfatteren: Sille Obelitz Søe er post.doc. på Institut for Informationsstudier.
