Når organisationer søger at beskytte deres brugeres data, er det nødvendigt, at de forstår de data, de har brug for til at beskytte. Personoplysninger, i forbindelse med GDPR, dækker en langt bredere vifte af oplysninger end personligt identificerbare oplysninger( PII), almindeligt anvendt i Nordamerika. Med andre ord, mens alle PII betragtes som personlige data, er ikke alle personlige data PII.
dette kræver en forklaring.
Hvad er PII?,
Personligt identificerbare oplysninger, der er defineret af det AMERIKANSKE Office of Privatliv og Åbne Regering som :
“Oplysninger, som kan bruges til at skelne eller spore en persons identitet, såsom deres navn, cpr-nummer, biometriske registreringer osv. sammen med andre personlige eller identificerende oplysninger, der er knyttet til eller kan linkes til en bestemt person, såsom fødselsdato og fødested, mors pigenavn osv.,”
for At skelne mellem en person er til at identificere en person ved at skelne én person fra et andet, og at spore en person proces tilstrækkelige oplysninger til at foretage en bestemmelse om et bestemt aspekt af en persons aktiviteter, eller status. Efter denne definition betragtes Navn, e-mail-adresse, postadresse, telefonnummer, personlige ID-numre (f.eks.
oplysninger er designet som linket, hvis nogen personlige oplysninger kan bruges til at identificere en person. (f. eks.,: fødselsnavn). Oplysninger kategoriseres som linkable oplysninger, hvis det i sig selv ikke er tilstrækkeligt til at identificere en person, men når det kombineres med et andet stykke information, kan det identificere, spore eller lokalisere en person (f.eks.: fødselsdato).
tag for eksempel to datasæt, der indeholder forskellige PII. Når begge datasæt er tilgængelige for den samme person, bliver det muligt at identificere personer fra at kombinere datasættene eller få adgang til yderligere oplysninger om emnet. Det er her informationssikkerhed kommer i spil., Hvis kontroller, der er designet til at holde datakilderne adskilt, er utilstrækkelige, betragtes data som forbundet. Når en yderligere informationskilde forbliver ekstern eller på afstand-tilfældet med siloed databaser i organisationer eller via en søgemaskine på internettet for offentligt tilgængelig information, så disse data menes at være sammenknyttes.
Hvad er følsom PII?
PII betragtes som følsom, hvis tabet, kompromitteringen eller offentliggørelsen uden tilladelse af disse data kan resultere i skade, forlegenhed, ulejlighed eller uretfærdighed for en person., For eksempel anses følgende oplysninger for at være følsomme PII:
- medicinsk
- uddannelsesmæssig
- finansiel
- beskæftigelsesoplysninger
Hvad er personoplysninger under GDPR?,
GDPR i artikel 4, definerer personlige data som følger:
“Personoplysninger” forstås enhver form for information om en identificeret eller identificerbar fysisk person (“den registrerede”); ved identificerbar person forstås en, der kan identificeres direkte eller indirekte, især ved henvisning til et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet “.,
I denne definition ser vi fire hovedelementer: “enhver oplysning”, “om”, “en identificeret eller identificerbar” og “fysisk person”.
første element: “alle oplysninger”
udtrykket “alle oplysninger” i direktivet kræver klart en bred fortolkning af begrebet. Med hensyn til arten af oplysningerne betyder det, at både objektiv og subjektiv information om en person kan betragtes som personoplysninger. Med hensyn til indholdet dækker personlige data enhver form for information., Definitionen er også teknologineutral, det betyder ikke noget, hvordan personoplysningerne gemmes (f.eks.: alfabetisk, numerisk, Grafisk, fotografisk, akustisk). Som et eksempel kan billeder af personer, der er fanget af et videoovervågningssystem, være personlige data i det omfang individerne er genkendelige.
andet element: “relateret til”
generelt kan oplysninger betragtes som”relatere” til et individ, når det handler om det pågældende individ., For at overveje de data, der er relateret til nogen, skal en af de tre flydende funktioner være til stede: indhold, formål eller resultat. Disse tre funktioner bør betragtes som alternative betingelser og ikke som kumulative. Følgelig kan det samme stykke information vedrøre forskellige individer på samme tid, afhængigt af hvilket element der er til stede med hensyn til hver enkelt.
tredje element: “identificeret eller identificerbar”
“identificeret”, når han eller hun inden for en gruppe personer “skelnes” fra alle andre medlemmer af gruppen., Den fysiske person er” identificerbar”, når det er muligt at gøre det, selvom personen endnu ikke er identificeret.
hvilke oplysninger kan være en identifikator? GDPR indeholder en ikke-udtømmende liste over fælles identifikatorer, der, når de bruges, kan muliggøre identifikation af den person, som de pågældende oplysninger kan vedrøre (f.eks. navn, identifikationsnummer, lokaliseringsdata, online identifikator).
begrebet “direkte” eller “indirekte” identificerbare indebærer, at i hvilket omfang visse identifikatorer er tilstrækkelige til at opnå identifikation er noget afhængigt af kontekst.,
nogle egenskaber er så unikke, at nogen kan identificeres uden indsats. Hvis jeg nævner “vores chef”, ved du præcis, hvem jeg taler om.
fjerde element: “fysisk person”
begrebet en fysisk person henviser til artikel 6 i Verdenserklæringen om Menneskerettigheder, hvorefter “enhver har ret til anerkendelse overalt som en person før loven”. Retten til beskyttelse af personoplysninger er i den forstand en universel ret, der ikke er begrænset til statsborgere eller bosiddende i et bestemt land., Således behandler en fysisk person kravet om, at “personlige data” handler om “levende individer”. I henhold til GDPR er personoplysninger om afdøde personer ikke dækket, men kan stadig indirekte modtage en vis beskyttelse i visse tilfælde, især når disse personoplysninger involverer registrerede, der stadig lever.
Hvad er følsomme data under GDPR?
følgende personoplysninger betragtes som særlige kategorier af personoplysninger og er underlagt specifikke behandlingsbetingelser i henhold til teknikken., 9 af GDPR:
- personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning;
- medlemskab af fagforening;
- genetiske data, biometriske data, der behandles udelukkende til at identificere et menneske;
- sundhed-relaterede data;
- data om en persons seksualliv eller følsomme data.
hvad med online-identifikatorer?,
i Betragtning 30 af Forordningen præciserer definitionen af “online-id”, der er nævnt
i Artikel 4:
“Fysiske personer, der kan være forbundet med online-id’ er, som leveres af deres enheder, applikationer, værktøjer og protokoller, såsom internet protocol-adresser, cookie-id, eller andre identifikatorer såsom radio-frequency identification tags. Dette kan efterlade spor, som, især når de kombineres med entydige identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler af de fysiske personer og identificere dem.,”
enheds-id ‘ er, IP-adresser og Cookies betragtes som personlige data under GDPR. I henhold til definitionen af PII, de er ikke PII, fordi der er anonyme og ikke kan bruges alene til at identificere, spore, eller identificere en person.
hvad med pseudonymiserede data?
personoplysninger betragtes som anonymiserede, hvis de ikke vedrører en identificeret eller identificerbar fysisk person, eller hvis de er blevet anonymiseret på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres.,
pseudonymisering af data betyder, at data, der identificerer data, erstattes med et pseudonym, eller med andre ord en værdi, der ikke gør det muligt at identificere den registrerede direkte. Betragtes pseudonymiserede data stadig som personoplysninger?
i henhold til artikel 29 I arbejdsgruppens udtalelse forbliver personoplysninger, der er blevet deidentificeret, krypteret eller pseudonymiseret, men som kan bruges til at identificere en person igen, personoplysninger og falder inden for rammerne af GDPR., Personoplysninger, der er blevet anonymiseret på en sådan måde, at personen ikke eller ikke længere kan identificeres, betragtes ikke længere som personoplysninger. For at data virkelig kan anonymiseres, skal anonymiseringen være irreversibel.
PII indeholder alle oplysninger, der kan bruges til at identificere anonyme data igen. Oplysninger, der er anonyme og ikke kan bruges til at spore en persons identitet, er ikke-PII. Enheds-id’ er, cookies og IP-adresser betragtes ikke som PII for de fleste af USA. Men nogle stater, som Californien, klassificerer disse data som PII., Californien klassificerer også aliaser og kontonavne som personlige oplysninger.
i en nøddeskal henviser PII til enhver information, der kan bruges til at skelne et individ fra et andet. GDPR – definitionen af personoplysninger er – bevidst-meget bred. I princippet dækker det alle oplysninger, der vedrører et identificerbart, levende individ.
Skriv et svar