Wenn Organisationen versuchen, die Daten ihrer Benutzer zu schützen, müssen sie die Daten verstehen, die sie schützen müssen. Personenbezogene Daten umfassen im Rahmen der DSGVO ein viel breiteres Spektrum an Informationen als personenbezogene Daten (PII), die üblicherweise in Nordamerika verwendet werden. Mit anderen Worten, während alle PII als persönliche Daten gelten, sind nicht alle persönlichen Daten PII.
Dies erfordert eine Erklärung.
Was ist PII?,
Personenbezogene Daten werden vom US Office of Privacy and Open Government wie folgt definiert :
“ Informationen, die zur Unterscheidung oder Verfolgung der Identität einer Person verwendet werden können, z. B. Name, Sozialversicherungsnummer, biometrische Aufzeichnungen usw. allein oder in Kombination mit anderen persönlichen oder identifizierenden Informationen, die mit einer bestimmten Person verknüpft oder verknüpft werden können, wie Geburtsdatum und-ort, Mädchenname der Mutter usw.,“
Eine Person zu unterscheiden, bedeutet, eine Person zu identifizieren, indem sie eine Person von einer anderen unterscheidet, und eine Person zu verfolgen, bedeutet, ausreichende Informationen zu verarbeiten, um eine Bestimmung über einen bestimmten Aspekt der Aktivitäten oder des Status einer Person vorzunehmen. Nach dieser Definition gelten Name, E-Mail-Adresse, Postanschrift, Telefonnummer und persönliche ID-Nummern (z. B. Sozialversicherung, Reisepass, Führerschein, Bankkonto) als PII.
Informationen sind so konzipiert, dass sie verknüpft sind, wenn persönliche Informationen zur Identifizierung einer Person verwendet werden können. (beispielsweise.,: Geburtsname). Informationen werden als verknüpfbare Informationen kategorisiert, wenn sie für sich genommen möglicherweise nicht ausreichen, um eine Person zu identifizieren, aber wenn sie mit einer anderen Information kombiniert werden, können sie eine Person identifizieren, verfolgen oder lokalisieren (z. B. Geburtsdatum).
Nehmen Sie zum Beispiel zwei Datensätze mit unterschiedlichen PII. Wenn beide Datensätze für dieselbe Person zugänglich sind, können Personen anhand der Kombination der Datensätze oder des Zugriffs auf zusätzliche Informationen zum Thema identifiziert werden. Hier kommt Informationssicherheit ins Spiel., Wenn Kontrollen zur Trennung der Datenquellen unzureichend sind, gelten Daten als verknüpft. Wenn eine zusätzliche Informationsquelle extern oder auf Distanz bleibt-der Fall bei Silo-Datenbanken innerhalb von Organisationen oder über eine Suchmaschine im Internet für öffentlich zugängliche Informationen -, werden diese Daten als verknüpfbar angesehen.
Was ist sensitive PII?
PII gilt als empfindlich, wenn der Verlust, compromission oder Offenlegung ohne Berechtigung dieser Daten zu Schaden kommen könnten, Verlegenheit, Unannehmlichkeiten oder Ungerechtigkeit zu einer Person., Für Beispiel, die folgenden Informationen gelten als sensible PII:
- Medizin
- educational
- Finanz
- berufliche Informationen
Was sind personenbezogene Daten unter der GDPR?,
Die DSGVO definiert personenbezogene Daten in Artikel 4 wie folgt:
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen („betroffene Person“); Eine identifizierbare Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Identifikationsnummer oder auf einen oder mehrere Faktoren, die für ihre physische, physiologische, geistige, wirtschaftliche, kulturelle oder soziale Identität spezifisch sind“.,
In dieser Definition sehen wir vier Hauptelemente:“ alle Informationen“,“ in Bezug auf“,“ eine identifizierte oder identifizierbare „und“natürliche Person“.
Erstes Element:“any information“
Der in der Richtlinie enthaltene Begriff „any information“ erfordert eindeutig eine breite Interpretation des Begriffs. In Bezug auf die Art der Informationen bedeutet dies, dass sowohl objektive als auch subjektive Informationen einer Person als personenbezogene Daten betrachtet werden können. In Bezug auf den Inhalt umfassen personenbezogene Daten jede Art von Informationen., Die Definition ist auch technologieneutral, Es spielt keine Rolle, wie die personenbezogenen Daten gespeichert werden (z. B. alphabetisch, numerisch, grafisch, fotografisch, akustisch). Als Beispiel können Bilder von Personen, die von einem Videoüberwachungssystem erfasst werden, personenbezogene Daten sein, soweit die Personen erkennbar sind.
Zweites Element:“in Bezug auf“
Allgemein kann davon ausgegangen werden, dass Informationen sich auf eine Person beziehen, wenn es sich um diese bestimmte Person handelt., Um die Daten zu berücksichtigen, die sich auf jemanden beziehen, sollte eines der drei fließenden Merkmale vorhanden sein: Inhalt, Zweck oder Ergebnis. Diese drei Merkmale sollten als alternative und nicht als kumulative Bedingungen betrachtet werden. Dementsprechend kann sich dieselbe Information gleichzeitig auf verschiedene Personen beziehen, abhängig davon, welches Element in Bezug auf jedes vorhanden ist.
Drittes Element:“identifiziert oder identifizierbar“
„Identifiziert“, wenn er innerhalb einer Personengruppe von allen anderen Mitgliedern der Gruppe“ unterschieden “ wird., Die natürliche Person ist „identifizierbar“, wenn die Person zwar noch nicht identifiziert wurde, dies jedoch möglich ist.
Welche Informationen können ein Bezeichner sein? Die DSGVO stellt eine nicht erschöpfende Liste gängiger Identifikatoren bereit, die bei Verwendung die Identifizierung der Person ermöglichen können, auf die sich die betreffenden Informationen beziehen können (z. B. Name, Identifikationsnummer, Standortdaten, Online-Kennung).
Der Begriff der“ direkten „oder“ indirekten “ Identifizierung impliziert, dass das Ausmaß, in dem bestimmte Kennungen ausreichen, um eine Identifizierung zu erreichen, vom Kontext abhängt.,
Einige Merkmale sind so einzigartig, dass jemand ohne Aufwand identifiziert werden kann. Wenn ich „unser Chef“ erwähne, wissen Sie genau, von wem ich spreche.
Viertes Element: „natürliche Person“
Der Begriff einer natürlichen Person bezieht sich auf Artikel 6 der Allgemeinen Erklärung der Menschenrechte, wonach „Jeder das Recht hat, überall als Person vor dem Gesetz anerkannt zu werden“. Das Recht auf Schutz personenbezogener Daten ist in diesem Sinne ein universelles Recht, das nicht auf Staatsangehörige oder Einwohner eines bestimmten Landes beschränkt ist., So befasst sich eine natürliche Person mit der Anforderung, dass es sich bei „persönlichen Daten“ um “ lebende Personen „handelt. Gemäß der DSGVO sind die personenbezogenen Daten verstorbener Personen nicht erfasst, können jedoch in bestimmten Fällen indirekt einen gewissen Schutz erhalten, insbesondere wenn diese personenbezogenen Daten betroffene Personen betreffen, die noch am Leben sind.
Was sind sensible Daten unter der DSGVO?
Die folgenden personenbezogenen Daten gelten als besondere Kategorien personenbezogener Daten und unterliegen besonderen Verarbeitungsbedingungen gemäß Art., 9 der DSGVO:
- personenbezogene Daten, die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen offenbaren;
- Gewerkschaftsmitgliedschaft;
- genetische Daten, biometrische Daten, die ausschließlich zur Identifizierung eines Menschen verarbeitet werden;
- gesundheitsbezogene Daten;
- Daten zum Sexualleben einer Person oder sensible Daten.
Was ist mit online-Identifikatoren?,
In Erwägungsgrund 30 der Verordnung wird die Definition der in Artikel 4 genannten „Online-Kennung“ präzisiert
:
„Natürlichen Personen können Online-Kennung zugeordnet werden, die von ihren Geräten, Anwendungen, Tools und Protokollen bereitgestellt werden, z. B. Internetprotokolladressen, Cookie-Kennungen oder anderen Kennungen wie Funkfrequenzkennungen. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen von den Servern empfangenen Informationen verwendet werden können, um Profile der natürlichen Personen zu erstellen und diese zu identifizieren.,“
Geräte-IDs, IP-Adressen und Cookies gelten unter DSGVO als personenbezogene Daten. Nach der Definition des PII sind sie keine PII, da sie anonym sind und nicht alleine verwendet werden können, um eine Person zu identifizieren, aufzuspüren oder zu identifizieren.
Was ist mit pseudonymisierten Daten?
Personenbezogene Daten gelten als anonymisiert, wenn sie sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen oder so anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist.,
Pseudonymisierung von Daten bedeutet, identifizierende Merkmale von Daten durch ein Pseudonym oder mit anderen Worten durch einen Wert zu ersetzen, der eine direkte Identifizierung der betroffenen Person nicht zulässt. Werden pseudonymisierte Daten weiterhin als personenbezogene Daten betrachtet?
Gemäß Artikel 29 der Stellungnahme der Arbeitsgruppe bleiben personenbezogene Daten, die de-identifiziert, verschlüsselt oder pseudonymisiert wurden, aber zur erneuten Identifizierung einer Person verwendet werden können, personenbezogene Daten und fallen in den Geltungsbereich der DSGVO., Personenbezogene Daten, die so anonymisiert wurden, dass die Person nicht oder nicht mehr identifizierbar ist, gelten nicht mehr als personenbezogene Daten. Damit Daten wirklich anonymisiert werden können, muss die Anonymisierung irreversibel sein.
PII enthält alle Informationen, die zur erneuten Identifizierung anonymer Daten verwendet werden können. Informationen, die anonym sind und nicht zur Verfolgung der Identität einer Person verwendet werden können, sind keine PII. Geräte-IDs, Cookies und IP-Adressen gelten in den meisten USA nicht als PII. Aber einige Staaten, wie Kalifornien, klassifizieren diese Daten als PII., Kalifornien klassifiziert Aliase und Kontonamen auch als persönliche Informationen.
Kurz gesagt, PII bezieht sich auf alle Informationen, die verwendet werden können, um eine Person von einer anderen zu unterscheiden. Die DSGVO – Definition personenbezogener Daten ist-bewusst-sehr weit gefasst. Grundsätzlich umfasst es alle Informationen, die sich auf eine identifizierbare, lebende Person beziehen.
Schreibe einen Kommentar