amikor a szervezetek meg akarják védeni felhasználói adataikat, szükséges, hogy megértsék azokat az adatokat, amelyeket meg kell őrizniük. A személyes adatok a GDPR keretében sokkal szélesebb körű információkat foglalnak magukban, mint a személyazonosításra alkalmas adatok (PII), amelyeket általában Észak-Amerikában használnak. Más szóval, bár az összes PII személyes adatnak minősül, nem minden személyes adat PII.
Ez magyarázatot igényel.
mi az a PII?,
Személyesen azonosítható információkat határozza meg MINKET a Hivatal Adatvédelmi Nyitott a Kormány, mint :
“az Információt, amely felhasználható megkülönböztetni, vagy nyomon követni az egyén identitás, mint például a név, taj-száma, biometrikus feljegyzések, stb. egyedül, vagy más személyes vagy azonosító adatokkal kombinálva, amelyek egy adott személyhez kapcsolódnak vagy összekapcsolhatók, például születési dátum és hely, anya leánykori neve stb.,”
az egyén megkülönböztetése az egyén azonosítása azáltal, hogy egy személyt megkülönböztet a másiktól, és az egyén nyomon követése elegendő információ feldolgozása ahhoz, hogy meghatározzuk az egyén tevékenységeinek vagy státuszának egy adott aspektusát. Ezt a meghatározást követően a név, az e-mail cím, a Postai cím, a telefonszám, a személyi azonosító számok (pl. társadalombiztosítás, útlevél, jogosítvány, bankszámla) PII-nek minősülnek.
Az információ úgy van kialakítva, hogy összekapcsolódjon, ha bármely személyes adat felhasználható az egyén azonosítására. (pl.,: születési név). Az információ összekapcsolható információnak minősül, ha önmagában nem elegendő egy személy azonosításához, de ha egy másik információval kombinálják, azonosíthat, nyomon követhet vagy megtalálhat egy személyt (például: születési dátum).
Vegyünk például két különböző PII-t tartalmazó adatkészletet. Ha mindkét adatkészlet ugyanazon személy számára elérhető, lehetővé válik az egyének azonosítása az adatkészletek kombinálásával vagy a témával kapcsolatos további információk elérésével. Itt jön létre az információbiztonság., Ha az adatforrások elkülönítésére tervezett ellenőrzések nem elegendőek, akkor az adatok összekapcsoltnak tekintendők. Ha egy további információforrás külső vagy távol marad -a szervezeteken belüli siloed adatbázisok esetében vagy az Interneten keresztül a nyilvánosan hozzáférhető információkhoz, akkor úgy gondolják, hogy ezek az adatok összekapcsolhatók.
mi az érzékeny PII?
a PII érzékenynek tekinthető, ha az adatok engedélyezése nélküli veszteség, kompromisszum vagy nyilvánosságra hozatal kárt, zavartságot, kellemetlenséget vagy igazságtalanságot okozhat az egyén számára., Például a következő információk minősülnek érzékeny PII:
- medical
- oktatási
- pénzügyi
- foglalkoztatási adatok
mi a személyes adat a GDPR alapján?,
a GDPR a 4.cikkben a személyes adatokat a következőképpen határozza meg:
“személyes adatok”: bármely azonosított vagy azonosítható természetes személyre (a továbbiakban: érintett) vonatkozó információ; az azonosítható személy olyan személy, aki közvetlenül vagy közvetve azonosítható, különösen egy azonosító számra vagy egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy társadalmi identitására vonatkozó tényezőre való hivatkozással”.,
ebben a meghatározásban négy fő elemet látunk:” bármilyen információ”,” kapcsolódó”,” azonosított vagy azonosítható “és”természetes személy”.
első elem: “bármely információ”
az irányelvben szereplő “bármely információ” kifejezés egyértelműen a fogalom széles körű értelmezését igényli. Az információ jellegét illetően ez azt jelenti, hogy mind az objektív, mind a szubjektív információ személyes adatnak tekinthető. A tartalmat illetően a személyes adatok bármilyen információt tartalmaznak., A meghatározás technológia szempontjából is semleges, nem számít, hogyan tárolják a személyes adatokat (pl. ábécé, numerikus, grafikus, fényképészeti, akusztikus). Például a videó megfigyelő rendszer által rögzített személyek képei személyes adatok lehetnek olyan mértékben, hogy az egyének felismerhetők.
második elem:”a”
általános értelemben az információ úgy tekinthető, hogy”kapcsolódik” az egyénhez, amikor az adott egyénről szól., Annak érdekében, hogy figyelembe lehessen venni a valakivel kapcsolatos adatokat, a három áramló funkció egyikének jelen kell lennie: tartalom, cél vagy eredmény. Ezt a három jellemzőt alternatív feltételnek kell tekinteni, nem pedig kumulatívnak. Ennek megfelelően ugyanaz az információ egyszerre vonatkozhat különböző egyénekre, attól függően, hogy melyik elem van jelen mindegyik tekintetében.
harmadik elem:”azonosított vagy azonosítható”
” azonosított”, amikor egy személycsoporton belül” megkülönböztetik ” a csoport többi tagjától., A természetes személy “azonosítható”, ha bár a személyt még nem azonosították, lehetséges.
milyen információ lehet azonosító? A GDPR nem kimerítő listát nyújt azokról a közös azonosítókról, amelyek felhasználásuk esetén lehetővé tehetik azon személy azonosítását, akire a szóban forgó információ vonatkozhat (pl. név, azonosító szám, helyadatok, online azonosító).
a “közvetlenül” vagy “közvetetten” azonosítható fogalom azt jelenti, hogy bizonyos azonosítók elégségesek az azonosítás eléréséhez, a kontextustól függ.,
egyes jellemzők annyira egyediek, hogy valaki erőfeszítés nélkül azonosítható. Ha megemlítem a “főnökünket”, pontosan tudni fogod, kiről beszélek.
negyedik elem:”természetes személy “
a természetes személy fogalma az Emberi Jogok Egyetemes Nyilatkozatának 6.cikkére utal, amely szerint”mindenkinek joga van a törvény előtti személyként való elismerésre”. A személyes adatok védelméhez való jog ebben az értelemben egyetemes, amely nem korlátozódik egy adott ország állampolgáraira vagy lakosaira., Így egy természetes személy azzal a követelményvel foglalkozik, hogy a “személyes adatok” az ” élő személyekről “szólnak. A GDPR értelmében az elhunyt személyek személyes adatai nem tartoznak ide, de bizonyos esetekben közvetett módon is részesülhetnek bizonyos védelemben, különösen akkor, ha a személyes adatok a még életben lévő érintettekre vonatkoznak.
mi az érzékeny adat a GDPR szerint?
az alábbi személyes adatok a személyes adatok különleges kategóriáinak minősülnek, és az Art., A GDPR 9. cikke:
- faji vagy etnikai származást, politikai véleményeket, vallási vagy filozófiai meggyőződéseket feltáró személyes adatok;
- szakszervezeti tagság;
- genetikai adatok, kizárólag az ember azonosítására feldolgozott biometrikus adatok;
- egészséggel kapcsolatos adatok;
- az ember szexuális életére vagy érzékeny adataira vonatkozó adatok.
mi a helyzet az online azonosítókkal?,
a Fenti 30 a Rendelet pontosítja a meghatározás, “online azonosító” említette
a 4. Cikk:
a”Természetes személyek társulhat online azonosítók által biztosított eszközök, alkalmazások, eszközök, protokollok, mint például az internet protocol címek, cookie-azonosítókat vagy egyéb azonosítók, például a rádiófrekvenciás azonosító kategória. Ez nyomokat hagyhat, amelyek-különösen egyedi azonosítókkal és a szerverek által kapott egyéb információkkal kombinálva-felhasználhatók a természetes személyek profiljainak létrehozására és azonosítására.,”
az eszközazonosítók, IP-címek és cookie-k a GDPR értelmében személyes adatnak minősülnek. A PII meghatározása szerint ezek nem PII-k, mert anonimok, és önmagukban nem használhatók fel egy személy azonosítására, nyomon követésére vagy azonosítására.
mi a helyzet az álnevesített adatokkal?
a személyes adatokat anonimizáltnak kell tekinteni, ha az nem azonosított vagy azonosítható természetes személyre vonatkozik, vagy ha anonimizálásra került oly módon, hogy az érintett nem vagy már nem azonosítható.,
Az adatok Álnevesítése azt jelenti, hogy az adatok azonosító jellemzőit álnévvel helyettesítjük, vagyis olyan értéket, amely nem teszi lehetővé az érintett közvetlen azonosítását. Az álnevesített adatok továbbra is személyes adatnak minősülnek?
a Munkacsoport véleményének 29. cikke szerint az azonosított, titkosított vagy álnevesített, de a személy újbóli azonosítására felhasználható személyes adatok továbbra is személyes adatok maradnak, és a GDPR hatálya alá tartoznak., Azok a személyes adatok, amelyeket olyan módon anonimizáltak, hogy az egyén nem azonosítható vagy már nem azonosítható, már nem minősülnek személyes adatoknak. Az adatok valódi anonimizálásához az anonimizálásnak visszafordíthatatlannak kell lennie.
a PII minden olyan információt tartalmaz, amely felhasználható a névtelen adatok újbóli azonosítására. Az anonim információ, amely nem használható fel az egyén személyazonosságának nyomon követésére, nem PII. Az eszközazonosítók, a cookie-k és az IP-címek az Egyesült Államok nagy részén nem minősülnek PII-nek. De egyes államok, mint Kalifornia, ezeket az adatokat PII-ként osztályozzák., Kalifornia az álneveket és a fiókneveket is személyes adatnak minősíti.
dióhéjban a PII minden olyan információra utal, amely felhasználható az egyik egyén megkülönböztetésére a másiktól. A személyes adatok GDPR meghatározása – szándékosan – nagyon széles. Elvileg kiterjed minden olyan információra, amely azonosítható, élő egyénre vonatkozik.
Vélemény, hozzászólás?