gdy organizacje dążą do ochrony danych swoich użytkowników, muszą zrozumieć dane, których potrzebują do ochrony. Dane osobowe, w kontekście RODO, obejmują znacznie szerszy zakres informacji niż dane osobowe (PII), powszechnie używane w Ameryce Północnej. Innymi słowy, chociaż wszystkie PII są danymi osobowymi, nie wszystkie dane osobowe są danymi osobowymi.
To wymaga jakiegoś wyjaśnienia.
Co to jest PII?,
dane osobowe są definiowane przez US Office of Privacy and Open Government jako:
„informacje, które można wykorzystać do rozróżnienia lub prześledzenia tożsamości danej osoby, takie jak imię i nazwisko, numer ubezpieczenia społecznego, zapisy biometryczne itp. samodzielnie lub w połączeniu z innymi danymi osobowymi lub identyfikacyjnymi powiązanymi lub możliwymi do powiązania z konkretną osobą, takimi jak Data i miejsce urodzenia, nazwisko panieńskie matki itp.,”
rozróżnienie jednostki polega na zidentyfikowaniu jednostki poprzez rozróżnienie jednej osoby od drugiej, a prześledzenie jednostki polega na przetworzeniu wystarczających informacji do ustalenia konkretnego aspektu działalności lub statusu jednostki. Zgodnie z tą definicją imię i nazwisko, adres e-mail, adres pocztowy, numer telefonu, osobiste numery identyfikacyjne (np. ubezpieczenie społeczne, paszport, prawo jazdy, konto bankowe) są uważane za PII.
informacje są zaprojektowane jako powiązane, jeśli jakiekolwiek dane osobowe mogą być wykorzystane do identyfikacji osoby. (np.,: imię i nazwisko). Informacje są klasyfikowane jako informacje dające się powiązać, jeśli same w sobie mogą nie być wystarczające do zidentyfikowania osoby, ale w połączeniu z inną informacją mogą zidentyfikować, wyśledzić lub zlokalizować osobę (np.: data urodzenia).
Weźmy na przykład dwa zestawy danych zawierające różne PII. Gdy oba zbiory danych są dostępne dla tej samej osoby, możliwe staje się zidentyfikowanie osób poprzez połączenie zbiorów danych lub dostęp do dodatkowych informacji na temat tematu. Tutaj wchodzi w grę bezpieczeństwo informacji., Jeżeli kontrole mające na celu oddzielenie źródeł danych są niewystarczające, dane uznaje się za powiązane. Gdy dodatkowe źródło informacji pozostaje zewnętrzne lub na odległość -w przypadku silosowych baz danych w organizacjach lub za pośrednictwem wyszukiwarki internetowej w celu uzyskania publicznie dostępnych informacji, wówczas uważa się, że dane te można powiązać.
Co to jest sensitive PII?
PII jest uważane za wrażliwe, jeśli utrata, kompromis lub ujawnienie bez upoważnienia tych danych może spowodować szkodę, zakłopotanie, niedogodności lub niesprawiedliwość dla osoby., Na przykład następujące informacje są uważane za wrażliwe IIP:
- Medyczne
- edukacyjne
- finansowe
- Informacje o zatrudnieniu
czym są dane osobowe w ramach RODO?,
RODO w artykule 4 definiuje dane osobowe w następujący sposób:
„dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („Osoba, Której Dane Dotyczą”); osobą możliwą do zidentyfikowania jest osoba, która może zostać zidentyfikowana, bezpośrednio lub pośrednio, w szczególności poprzez odniesienie do numeru identyfikacyjnego lub jednego lub kilku czynników specyficznych dla jej fizycznej, fizjologicznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości”.,
w tej definicji widzimy cztery główne elementy: „wszelkie informacje”, „odnoszące się do”, „zidentyfikowane lub możliwe do zidentyfikowania” i „osoba fizyczna”.
pierwszy element: „wszelkie informacje”
termin „wszelkie informacje” zawarty w dyrektywie wyraźnie wymaga szerokiej interpretacji tego pojęcia. W odniesieniu do charakteru informacji oznacza to, że zarówno obiektywne, jak i subiektywne informacje osoby mogą być traktowane jako dane osobowe. Jeśli chodzi o treść, dane osobowe obejmują wszelkiego rodzaju informacje., Definicja jest również neutralna technologicznie, nie ma znaczenia, w jaki sposób dane osobowe są przechowywane (np.: alfabetyczny, numeryczny, graficzny, fotograficzny, akustyczny). Na przykład obrazy osób zarejestrowanych przez system nadzoru wideo mogą być danymi osobowymi w zakresie, w jakim osoby te są rozpoznawalne.
drugi element: „odnoszący się do”
ogólnie rzecz biorąc, informacje mogą być uważane za”odnoszące się” do danej osoby, gdy chodzi o tę konkretną osobę., Aby wziąć pod uwagę dane odnoszące się do kogoś, jedna z trzech płynnych cech powinna być obecna: treść, cel lub wynik. Te trzy cechy należy uznać za Warunki alternatywne, a nie za Warunki kumulacyjne. W związku z tym ta sama informacja może odnosić się do różnych osób w tym samym czasie, w zależności od tego, jaki element jest obecny w odniesieniu do każdej z nich.
trzeci element: „zidentyfikowany lub możliwy do zidentyfikowania”
„zidentyfikowany”, gdy w grupie osób jest „odróżniony” od wszystkich innych członków grupy., Osoba fizyczna jest „możliwa do zidentyfikowania”, gdy choć nie została jeszcze zidentyfikowana, jest to możliwe.
Jakie informacje mogą być identyfikatorem? RODO zawiera niewyczerpującą listę wspólnych identyfikatorów, które w przypadku ich użycia mogą umożliwić identyfikację osoby, której dane Informacje mogą się odnosić (np. imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy).
pojęcie „bezpośrednio” lub „pośrednio” identyfikowalne oznacza, że zakres, w jakim niektóre identyfikatory są wystarczające do osiągnięcia identyfikacji, zależy od kontekstu.,
niektóre cechy są tak unikalne, że można kogoś zidentyfikować bez wysiłku. Jeśli wspomnę o „naszym szefie”, będziesz wiedział dokładnie, O kim mówię.
czwarty element: „osoba fizyczna”
pojęcie osoby fizycznej odnosi się do art. 6 Powszechnej Deklaracji Praw Człowieka, zgodnie z którym „każdy ma prawo do uznania wszędzie za osobę przed prawem”. Prawo do ochrony danych osobowych jest w tym sensie uniwersalne i nie ogranicza się do obywateli lub mieszkańców danego kraju., Tak więc osoba fizyczna zajmuje się wymogiem, że „dane osobowe” dotyczą „żywych osób”. Zgodnie z RODO dane osobowe osób zmarłych nie są objęte ochroną, ale w niektórych przypadkach mogą być pośrednio chronione, w szczególności gdy dane osobowe dotyczą osób, których dane dotyczą, które nadal żyją.
czym są dane wrażliwe w ramach RODO?
poniższe dane osobowe są uważane za szczególne kategorie danych osobowych i podlegają szczególnym warunkom przetwarzania Zgodnie z art., 9 RODO:
- dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne;
- członkostwo w związkach zawodowych;
- dane genetyczne, dane biometryczne przetwarzane wyłącznie w celu identyfikacji człowieka;
- dane dotyczące zdrowia;
- dane dotyczące życia seksualnego danej osoby lub dane wrażliwe.
a co z identyfikatorami online?,
motyw 30 Rozporządzenia wyjaśnia definicję „identyfikatora internetowego” wymienioną
w art. 4:
„osoby fizyczne mogą być powiązane z identyfikatorami internetowymi dostarczanymi przez ich urządzenia, Aplikacje, Narzędzia i protokoły, takie jak adresy protokołów internetowych, identyfikatory plików cookie lub inne identyfikatory, takie jak znaczniki identyfikacji radiowej. Może to pozostawić ślady, które, w szczególności w połączeniu z unikalnymi identyfikatorami i innymi informacjami otrzymanymi przez serwery, mogą być wykorzystane do tworzenia profili osób fizycznych i ich identyfikacji.,”
identyfikatory urządzeń, adresy IP i pliki cookie są traktowane jako dane osobowe zgodnie z RODO. Zgodnie z definicją PII nie są one PII, ponieważ są anonimowe i nie mogą być wykorzystane samodzielnie do identyfikacji, śledzenia lub identyfikacji osoby.
a co z danymi pseudonimizowanymi?
dane osobowe są uważane za zanonimizowane, jeśli nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej lub jeśli zostały zanonimizowane w taki sposób, że osoba, której dane dotyczą, nie jest lub nie jest już możliwa do zidentyfikowania.,
Pseudonimizacja danych oznacza zastąpienie wszelkich cech identyfikujących dane pseudonimem lub innymi słowy wartością, która nie pozwala na bezpośrednią identyfikację osoby, której dane dotyczą. Czy dane pseudonimizowane są nadal uważane za dane osobowe?29 opinii Grupy Roboczej, dane osobowe, które zostały usunięte, zaszyfrowane lub pseudonimizowane, ale mogą być wykorzystane do ponownej identyfikacji osoby, pozostają danymi osobowymi i wchodzą w zakres RODO., Dane osobowe, które zostały zanonimizowane w taki sposób, że dana osoba nie jest możliwa do zidentyfikowania lub przestaje być możliwa do zidentyfikowania, nie są już uważane za dane osobowe. Aby dane były rzeczywiście anonimizowane, anonimizacja musi być nieodwracalna.
PII zawiera wszelkie informacje, które można wykorzystać do ponownej identyfikacji anonimowych danych. Informacje, które są anonimowe i nie mogą być wykorzystane do prześledzenia tożsamości danej osoby, nie są danymi osobowymi. Identyfikatory urządzeń, pliki cookie i adresy IP nie są uważane za PII w większości Stanów Zjednoczonych. Ale niektóre stany, takie jak Kalifornia, klasyfikują te dane jako PII., Kalifornia klasyfikuje aliasy i nazwy kont jako dane osobowe.
W skrócie PII odnosi się do wszelkich informacji, które można wykorzystać do odróżnienia jednej osoby od drugiej. Definicja RODO danych osobowych jest-celowo-bardzo szeroka. Zasadniczo obejmuje ona wszelkie informacje dotyczące możliwej do zidentyfikowania, żyjącej osoby.
Dodaj komentarz