Den 23 juni 2015 11:12 skrev Joel Purra mig@joelpurra.se:
2015-06-23 9:21 GMT+02:00 Peter Michanek peter@michanek.se:
Här är datainspektionens beslut:
http://www.datainspektionen.se/press/nyheter/2015/besoksflodena-i-vasteras-m...
Utmärkt! De nämner speciellt att mac-adresser är personuppgifter och att hasha dem inte är tillräckligt =)
Skrev en liten uppdatering på DFRI-bloggen; den som lusläser granskningen får gärna komplettera med kommentarer!
Mobilkartläggning bryter mot lagen https://www.dfri.se/mobilkartlaggning-bryter-mot-lagen/
-joelpurra.com
Ja precis, det var att mac-adresser klassas som personuppgift som var mest intressant. Men jag (kanske lite mindre insatt i lagtexten än andra här) gillade även resonemanget kring vad som är en personuppgift.
"För att det ska vara fråga om en personuppgift krävs att en fysisk person kan identifieras med hjälp av informationen. Det är inte nödvändigt att den personuppgiftsansvarige själv förfogar över samtliga uppgifter som gör identifieringen möjlig. För att avgöra om en person är identifierbar ska alla hjälpmedel beaktas som, i syfte att identifiera vederbörande, rimligen kan komma att användas antingen av den personuppgiftsansvarige eller av någon annan person. Som exempel kan nämnas uppgifter som kan hänföras till en person genom kontroller i ett register som tillhandahålls av någon annan. Det kan till exempel handla om fordons registreringsnummer, kundnummer och ip-adresser."
Detta gör det väldigt tydligt att man måste ta "korskörningar" mellan olika register i beaktning...sedan är det bara att fundera på vilka register/databaser Google, Facebook eller annan stor aktör både privat och offentlig sitter på så inser man att det är väldigt svårt att avidentifiera data.