když se organizace snaží chránit data svého uživatele, je nutné, aby chápaly údaje, které potřebují k ochraně. Osobní údaje v souvislosti s GDPR pokrývají mnohem širší škálu informací než osobní identifikační údaje (PII), běžně používané v Severní Americe. Jinými slovy, zatímco všechny PII jsou považovány za osobní údaje, ne všechny osobní údaje jsou PII.
to vyžaduje nějaké vysvětlení.
co je PII?,
Osobně identifikovatelné informace je definována americký Úřad Soukromí a Otevřené vládnutí jako :
„Informace, které mohou být použity k odlišení nebo stopových individuální identity, jako je jejich jméno, číslo sociálního zabezpečení, biometrické záznamy, atd. sám, nebo v kombinaci s jinými osobní nebo identifikační údaje, které souvisí nebo propojení na konkrétní jedince, jako jsou datum a místo narození, jméno matky za svobodna, atd.,“
rozlišovat jednotlivce je identifikovat jedince náročné na jednoho člověka od druhého a sledovat jednotlivce je proces dostatek informací, aby se rozhodnutí o konkrétní aspekt individuální činnost nebo stav. Podle této definice se za PII považuje Jméno, e-mailová adresa, poštovní adresa, telefonní číslo, osobní identifikační čísla (např. sociální zabezpečení, cestovní pas, řidičský průkaz, bankovní účet).
informace jsou navrženy jako propojené, pokud lze k identifikaci jednotlivce použít jakýkoli osobní údaj. (jako.,: rodné jméno). Informace jsou klasifikovány jako propojitelné informace, pokud samy o sobě nemusí stačit k identifikaci osoby, ale v kombinaci s jinou informací by mohly identifikovat, vysledovat nebo lokalizovat osobu (např.: datum narození).
Vezměte například dvě datové sady obsahující různé PII. Pokud jsou obě datové sady přístupné stejné osobě, je možné identifikovat jednotlivce z kombinace datových sad nebo přístupu k dalším informacím o předmětu. Zde přichází do hry informační bezpečnost., Jsou-li ovládací prvky navržené pro udržení oddělených zdrojů dat nedostatečné, považují se data za propojená. Při dalším zdrojem informací zůstává vnější, nebo na dálku-v případě siled databází v rámci organizací nebo prostřednictvím vyhledávače na internetu na veřejně přístupné informace, tak, že data jsou myšlenka být korelace.
co je citlivé PII?
PII je považovat za citlivé, pokud ztráta, compromission, nebo zveřejnění bez povolení tohoto údaje by mohly způsobit škodu, rozpaky, nepohodlí, nebo nespravedlnost individuální., Například následující informace jsou považovány za citlivé PII:
- medical
- vzdělávací
- finanční
- informace o zaměstnání
jaké jsou osobní údaje podle GDPR?,
obecné nařízení O ochraně údajů v článku 4 definuje osobní údaje takto:
„Osobní údaje“ rozumějí veškeré informace o identifikované nebo identifikovatelné fyzické osobě („Subjektu Údajů“); identifikovatelnou osobou se rozumí osoba, která může být identifikována, přímo či nepřímo, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity „.,
V této definici vidíme čtyři hlavní prvky: „veškeré informace“, „o“, „identifikovaná nebo identifikovatelná“ a „fyzická osoba“.
první prvek:“jakékoli informace“
pojem „jakékoli informace“ obsažený ve směrnici jasně vyžaduje široký výklad pojmu. Pokud jde o povahu informací, znamená to, že objektivní i subjektivní informace osoby lze považovat za osobní údaje. Pokud jde o obsah, osobní údaje se týkají jakéhokoli druhu informací., Definice je také technologicky neutrální, nezáleží na tom, jak jsou osobní údaje uloženy (např.: Abecední, numerické, grafické, fotografické, akustické). Jako příklad lze uvést obrázky jednotlivců zachycených kamerovým systémem osobní údaje v rozsahu, v jakém jsou jednotlivci rozpoznatelní.
druhý prvek:“vztahující se k“
obecně lze považovat informace za“ související “ s jednotlivcem, pokud jde o daného jednotlivce., Aby bylo možné zvážit údaje týkající se někoho, měla by být přítomna jedna ze tří tekoucích funkcí: obsah, účel nebo výsledek. Tyto tři funkce by měly být považovány za alternativní podmínky a nikoli za kumulativní. Stejná informace se tedy může vztahovat k různým jednotlivcům současně, v závislosti na tom, jaký prvek je u každého z nich přítomen.
třetí prvek: „identifikovaný nebo identifikovatelný“
„identifikovaný“, když je ve skupině osob „odlišen“ od všech ostatních členů skupiny., Fyzická osoba je „identifikovatelná“, když i když tato osoba ještě nebyla identifikována, je to možné.
jaké informace mohou být identifikátorem? Obecného nařízení o ochraně údajů poskytuje non-vyčerpávající seznam běžných identifikátorů, které, když se používá, může umožnit identifikaci jednotlivých komu mohou být předmětné informace vztahují (např. jméno, identifikační číslo, lokalizační údaje, elektronické identifikátor).
pojem“ přímo „nebo“ nepřímo “ identifikovatelný znamená, že rozsah, v jakém jsou určité identifikátory dostatečné k dosažení identifikace, je něco, co závisí na kontextu.,
některé vlastnosti jsou tak jedinečné, že někdo může být identifikován bez námahy. Když zmíním „našeho šéfa“, budete přesně vědět, o kom mluvím.
Čtvrtý prvek: „fyzická osoba“
pojem fyzická osoba odkazuje na Článek 6 Všeobecné Deklarace Lidských Práv, podle něhož „Každý má právo, aby byla všude uznávána jeho osoby před zákonem“. Právo na ochranu osobních údajů je v tomto smyslu univerzální, které není omezeno na státní příslušníky či obyvatele určité země., Fyzická osoba se tak zabývá požadavkem, aby „osobní údaje“ byly o „živých jedincích“. Podle obecného nařízení o ochraně údajů, osobních údajů zemřelých osob nejsou zahrnuty, ale přesto může nepřímo obdržet ochranu v některých případech, zejména v případě, že osobní údaje zahrnuje údaje subjektů, kteří jsou stále naživu.
co jsou citlivá data podle GDPR?
následující osobní údaje jsou považovány za zvláštní kategorie osobních údajů a podléhají specifickým podmínkám zpracování podle čl., 9 obecného nařízení o ochraně údajů:
- osobní údaje odhalující rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení;
- členství v odborových organizacích;
- genetické údajů, biometrických údajů zpracovány pouze k identifikaci člověka;
- údaje týkající se zdraví;
- údaje týkající se sexuálního života určité osoby nebo citlivé údaje.
Co online identifikátory?,
30. bodě Odůvodnění Nařízení vyjasňuje definici „on-line identifikátor“ zmínil
v Článku 4:
„Fyzické osoby může být spojena s on-line identifikátory, které používají jeho zařízení, aplikace, nástroje a protokoly, jako jsou adresy internetového protokolu, identifikátory cookies nebo jiných identifikátorů, jako jsou rádiová identifikační značky. To může zanechat stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi získanými servery použity k vytvoření profilů fyzických osob a jejich identifikaci.,“
ID zařízení, IP adresy a soubory cookie jsou podle GDPR považovány za osobní údaje. Podle definice PII nejsou PII, protože existují anonymní a nemohou být použity samy o sobě k identifikaci, sledování nebo identifikaci osoby.
a co pseudonymizovaná data?
osobní údaje je považována za anonymní, pokud se netýkají identifikované či identifikovatelné fyzické osoby nebo pokud je má byly anonymizovány tak, že subjekt údajů není nebo již není identifikovatelná.,
pseudonymizace dat znamená nahrazení jakýchkoli identifikačních charakteristik dat pseudonymem nebo jinými slovy hodnotou, která neumožňuje přímou identifikaci subjektu údajů. Jsou pseudonymizované údaje stále považovány za osobní údaje?
Podle Článku 29 Pracovní skupina názor, že osobní údaje, které byly anonymizovány, šifrované nebo pseudonymizované ale může být použit k re-identifikovat osobu zůstává osobních údajů a spadá do působnosti obecného nařízení o ochraně údajů., Osobní údaje, které byly anonymizovány takovým způsobem, že jednotlivec není nebo již není identifikovatelný, se již nepovažují za osobní údaje. Aby byly údaje skutečně anonymizovány, musí být anonymizace nevratná.
PII obsahuje veškeré informace, které lze použít k opětovné identifikaci anonymních dat. Informace, které jsou anonymní a nelze je použít ke sledování identity jednotlivce, nejsou PII. ID zařízení, soubory cookie a IP adresy nejsou považovány za PII pro většinu Spojených států. Ale některé státy, jako Kalifornie, klasifikují tato data jako PII., Kalifornie klasifikuje aliasy a jména účtů jako osobní údaje.
stručně řečeno, PII odkazuje na jakékoli informace, které lze použít k odlišení jednoho jednotlivce od druhého. Definice osobních údajů GDPR je – záměrně – velmi široká. V zásadě se vztahuje na všechny informace, které se týkají identifikovatelného, živého jedince.
Napsat komentář