Når organisasjoner søker å beskytte brukerens data, er det nødvendig at de forstår den informasjonen de trenger for å ivareta. Personopplysninger i forbindelse med GDPR, dekker et mye bredere spekter av informasjon enn personlig identifiserbar informasjon (PII) er mye brukt i Nord-Amerika. Med andre ord, mens alle PII regnes som personlige data, ikke alle personlige data er PII (personlig identifiserbar informasjon.
Dette krever litt forklaring.
Hva er PII (personlig identifiserbar informasjon?,
Personlig, identifiserbar informasjon som er definert av den AMERIKANSKE Office of Personvern og Åpne Regjeringen som :
«Informasjon som kan brukes til å skille eller spore en persons identitet, som navn, personnummer, biometriske poster, etc. alene, eller kombinert med andre personlige identifiserende opplysninger som er koblet til eller linkable til en bestemt person, for eksempel dato og sted for fødsel, mors pikenavn, etc.,»
for Å skille en person, er å identifisere et individ av kresne en person fra en annen, og til å spore en person, er å behandle tilstrekkelig informasjon til å gjøre en beslutning om et bestemt aspekt ved en persons aktiviteter eller status. Etter denne definisjonen, navn, e-postadresse, postadresse, telefonnummer, personlig ID-nummer (f.eks., personnummer, førerkort eller pass, bank konto) anses som sensitiv informasjon.
Informasjon er utformet som knyttet hvis noen del av personlig informasjon som kan brukes til å identifisere en person. (eksempelvis.,: fødsel navn). Informasjonen er kategorisert som linkable informasjon om, på sin egen, det kan ikke være tilstrekkelig til å kunne identifisere en person, men når det kombineres med en annen bit av informasjon, det kunne identifisere, spore, eller finne en person (f.eks.: fødselsdato).
Ta for eksempel to datasett som inneholder forskjellige PII (personlig identifiserbar informasjon. Når begge datasett er tilgjengelig til den samme personen, blir det mulig å identifisere enkeltpersoner fra å kombinere datasett eller få tilgang til ytterligere informasjon om emnet. Dette er hvor informasjonssikkerhet kommer inn i bildet., Hvis kontrollene som er designet til å holde data kilder separat er utilstrekkelig, og data er koblet. Når en ekstra kilde til informasjon forblir eksterne eller på avstand -saken med siloed databaser innen organisasjoner eller via en søkemotor på internett for offentlig tilgjengelig informasjon, og at data er tenkt å være linkable.
Hva er sensitive PII (personlig identifiserbar informasjon?
PII regnes som sensitive hvis tapet, compromission, eller offentliggjøres uten tillatelse av disse data kan resultere i skade, forlegenhet, ulempe, eller urettferdighet til en enkeltperson., For eksempel, følgende informasjon er ansett for å være følsomme PII:
- medisinsk
- pedagogisk
- finansielle
- sysselsetting informasjon
Hva er personopplysninger i henhold til GDPR?,
GDPR i artikkel 4 definerer personopplysninger som følger:
«Personlige data» skal bety all informasjon knyttet til en identifisert eller identifiserbar fysisk person (‘individet’); en identifiserbar person er en som kan identifiseres, direkte eller indirekte, særlig under henvisning til et identifikasjonsnummer eller ett eller flere faktorer som er spesifikke for hans fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sosiale identitet «.,
I denne definisjonen ser vi fire hovedelementer: «all informasjon», «om», «en identifisert eller identifiserbar» og «fysisk person».
Første element: «all informasjon»
begrepet «informasjon» som finnes i Direktivet tydelig anrop for en vid tolkning av begrepet. Om natur informasjon, dette betyr at både objektive og subjektive informasjon om en person kan anses som personopplysninger. Om innhold, personlige data dekker enhver form for informasjon., Definisjonen er også teknologinøytralt, Det spiller ingen rolle hvordan det personlige data som er lagret (f.eks: alfabetisk, numerisk, grafisk, fotografiske, akustisk). Som et eksempel, bilder av individer fanget av en video-overvåking system kan være personopplysninger i den grad at de personene som er gjenkjennelige.
Andre elementet: «knyttet til»
I de generelle vilkår, kan informasjonen bli ansett for å»forholde» til en person når det er om vedkommende., For å vurdere data relatert til noen, en av de tre flyter funksjoner bør være til stede: innhold, formål eller resultat. Disse tre funksjonene bør vurderes som alternativ forhold, og ikke som kumulative seg. Følgelig, det samme stykket av informasjon kan forholde seg til ulike personer på samme tid, avhengig av hva slags element er til stede med hensyn til hver og en.
Tredje element: «identifisert eller identifiserbar»
«Identifisert» når, i løpet av en gruppe personer, vil han eller hun er «preget» fra alle de andre medlemmene av gruppen., Den personen som er «identifiserbar» da, selv om personen ikke har blitt identifisert ennå, det er mulig å gjøre det.
Hva slags informasjon som kan være en identifikator? Den GDPR gir en ikke uttømmende liste over felles identifikatorer som, når den brukes, kan føre til at identifisering av den enkelte som informasjonen i spørsmålet kan forholde seg (for eksempel, navn, id-nummer, posisjonsdata, online identifier).
begrepet «direkte» eller «indirekte» identifiserbar innebærer at i den grad som enkelte identifikatorer er tilstrekkelig for å oppnå identifikasjon er noe avhengig av kontekst.,
Noen egenskaper er så unik at noen kan bli identifisert med ingen innsats. Hvis jeg nevne «sjefen vår», vil du vite nøyaktig hvem jeg snakker om.
Fjerde element: «fysisk person»
konseptet av en fysisk person viser til Artikkel 6 i Verdenserklæringen om Menneskerettigheter, og i henhold til «Enhver har rett til anerkjennelse overalt som en person før loven». Rett til beskyttelse av personlige data, i den forstand, en universell ett som ikke er begrenset til statsborgere eller bosatt i et bestemt land., Dermed er en naturlig person avtaler med kravet om at «personlige data» om » levende individer «. Under GDPR, den personlige data av døde personer er ikke dekket, men kan likevel indirekte mottar noen beskyttelse i visse tilfeller, spesielt når det personlige data involverer data fag som fortsatt er i live.
Hva er sensitive data under GDPR?
følgende personlig data anses som særlige kategorier av personopplysninger og er underlagt spesifikk behandling forhold i henhold til Art., 9 av GDPR:
- personlige data avslørende rase eller etnisk opprinnelse, politiske meninger, religiøs eller filosofisk overbevisning;
- medlemskap i fagforening;
- genetiske data, biometriske data som behandles utelukkende for å identifisere et menneske;
- helse-relaterte data;
- data om en persons kjønn liv eller sensitive data.
Hva om online identifikatorer?,
Recital 30 av Forskriften klargjør definisjonen av «online identifier» nevnt
i Artikkel 4:
«fysiske personer kan være forbundet med online identifikatorer gitt av deres enheter, applikasjoner, verktøy og protokoller, slik som internet protocol-adresser, informasjonskapsler identifikatorer eller andre identifikatorer, for eksempel radio frequency identification tagger. Dette kan etterlate spor som, spesielt når kombinert med unike identifikatorer og andre opplysninger som er mottatt av servere, som kan brukes til å lage profiler av fysiske personer og identifisere dem.,»
Enhet-Id-er, IP-adresser og Informasjonskapsler er å anse som personopplysninger i henhold til GDPR. I henhold til definisjonen av PII, de er ikke PII fordi det er anonym og kan ikke benyttes på sine egne for å identifisere, spore eller identifisere en person.
Hva om pseudonymisert data?
En personlig data anses som anonymiserte hvis det ikke knytter seg til en identifisert eller identifiserbar fysisk person eller om det har blitt utført anonyme på en slik måte at individet er ikke eller ikke lenger kan identifiseres.,
Pseudonymisation av data innebærer å erstatte noen å identifisere egenskaper av data med et pseudonym, eller med andre ord, en verdi som ikke tillater individet å bli direkte identifisert. Er pseudonymisert data fortsatt anses som personlige data?
i Henhold til Artikkel 29 Working Party mening, personlige data som har blitt de-identifisert, kryptert eller pseudonymisert, men kan brukes til å re-identifisere en person forblir personlige data og omfattes av GDPR., Personlige data som har blitt utført anonyme på en slik måte at den enkelte er ikke eller ikke lenger er identifiserbare er ikke lenger regnes som personopplysninger. For at data skal være helt anonym, det anonymisering må være irreversible.
PII (personlig identifiserbar informasjon inkluderer informasjon som kan brukes til å re-identifisere anonyme data. Informasjon som er anonyme og kan ikke brukes til å spore identiteten til en person, er ikke-PII (personlig identifiserbar informasjon. Enheten Id-informasjonskapsler og IP-adresser er ikke vurdert PII for det meste av Usa. Men noen stater som California, gjør klassifisere dette data som PII., California klassifiserer aliaser og konto navn som personlige opplysninger så godt.
I et nøtteskall, PII refererer til informasjon som kan brukes til å skille en person fra en annen. Den GDPR definisjon av personlige data er – bevisst – en svært omfattende en. I prinsippet dekker alle opplysninger som er knyttet til en identifiserbar, levende individ.
Legg igjen en kommentar