când organizațiile încearcă să protejeze datele utilizatorilor lor, este necesar ca aceștia să înțeleagă datele de care au nevoie pentru a le proteja. Datele cu caracter Personal, în contextul GDPR, acoperă o gamă mult mai largă de informații decât informațiile de identificare personală (PII), utilizate în mod obișnuit în America de Nord. Cu alte cuvinte, în timp ce toate PII sunt considerate date cu caracter personal, nu toate datele cu caracter personal sunt PII. acest lucru necesită unele explicații.
ce este PII?,
Personal, informații de identificare este definit de Biroul SUA de Confidențialitate și Guvern Deschis :
„Informații care pot fi utilizate pentru a distinge sau urme identitatea individului, cum ar fi numele lor, numărul de securitate socială, înregistrările biometrice, etc. sau atunci când sunt combinate cu alte informații personale sau de identificare care sunt legate sau legate de o anumită persoană, cum ar fi data și locul nașterii, numele de fată al mamei etc.,”
a distinge un individ înseamnă a identifica un individ prin a discerne o persoană de alta și a urmări un individ înseamnă a procesa informații suficiente pentru a determina un aspect specific al activităților sau statutului unui individ. În conformitate cu această definiție, numele, adresa de e-mail, adresa poștală, numărul de telefon, numerele de identificare personală (de exemplu, securitatea socială, pașaportul, permisul de conducere, contul bancar) sunt considerate PII.
informațiile sunt concepute ca fiind legate dacă orice informație personală poate fi utilizată pentru a identifica o persoană. (de ex.,: numele nașterii). Informațiile sunt clasificate ca informații care pot fi conectate dacă, pe cont propriu, este posibil să nu fie suficiente pentru a permite identificarea unei persoane, dar atunci când sunt combinate cu o altă informație, ar putea identifica, urmări sau localiza o persoană (de exemplu, data nașterii).
luați, de exemplu, două seturi de date care conțin PII diferite. Atunci când ambele seturi de date sunt accesibile aceleiași persoane, devine posibilă identificarea persoanelor prin combinarea seturilor de date sau accesarea informațiilor suplimentare despre subiect. Aici intră în joc securitatea informațiilor., Dacă controalele concepute pentru păstrarea separată a surselor de date sunt insuficiente, atunci datele sunt considerate legate. Atunci când o sursă suplimentară de informații rămâne externe sau de la distanță -în cazul cu siled baze de date în cadrul organizațiilor sau prin intermediul unui motor de căutare pe internet pentru informații accesibile publicului, atunci de date este considerat a fi corelate.
ce este pii sensibil?
PII este considerat ca fiind sensibil dacă pierderea, compromiterea sau divulgarea fără autorizarea acestor date ar putea duce la vătămări, jenă, inconveniente sau nedreptate pentru o persoană., De exemplu, următoarele informații sunt considerate a fi PII sensibile:
- medical
- educațional
- financiar
- informații privind ocuparea forței de muncă
ce sunt datele cu caracter personal în conformitate cu GDPR?,
RGPD în articolul 4, definește datele cu caracter personal după cum urmează:
„date cu caracter Personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă („persoană vizată”); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice sale fizice, fiziologice, psihice, economice, culturale sau sociale de identitate „.,
În această definiție putem vedea patru elemente principale: „orice informație”, „referitor la”, „identificată sau identificabilă” și „persoană fizică”.
primul element:”orice informație”
termenul „orice informație” conținut în directivă solicită în mod clar o interpretare largă a conceptului. În ceea ce privește natura informațiilor, aceasta înseamnă că atât informațiile obiective, cât și cele subiective ale unei persoane pot fi considerate date cu caracter personal. În ceea ce privește conținutul, datele personale acoperă orice fel de informații., Definiția este, de asemenea, neutră din punct de vedere tehnologic, indiferent de modul în care sunt stocate datele personale (de exemplu: alfabetic, numeric, grafic, fotografic, acustic). De exemplu, imaginile persoanelor capturate de un sistem de supraveghere video pot fi date cu caracter personal în măsura în care persoanele sunt recunoscute.
al doilea element: „referitor la”
în termeni generali, se poate considera că informațiile” se referă ” la un individ atunci când este vorba despre acel individ., Pentru a lua în considerare datele legate de cineva, ar trebui să fie prezentă una dintre cele trei caracteristici curgătoare: conținut, scop sau rezultat. Aceste trei caracteristici ar trebui considerate ca condiții alternative și nu ca cumulative. În consecință, aceeași informație se poate referi la diferite persoane în același timp, în funcție de ce element este prezent în ceea ce privește fiecare.
al treilea element: „identificat sau identificabil”
” identificat „atunci când, în cadrul unui grup de persoane, el sau ea este” distins ” de toți ceilalți membri ai grupului., Persoana fizică este „identificabilă” atunci când, deși persoana nu a fost încă identificată, este posibil să o facă.
ce informații pot fi un identificator? GDPR oferă o listă neexhaustivă de identificatori comuni care, atunci când sunt utilizați, pot permite identificarea persoanei la care se pot referi informațiile în cauză (de exemplu, nume, număr de identificare, date de localizare, identificator online). conceptul de” direct ” sau „indirect” identificabil implică faptul că măsura în care anumiți identificatori sunt suficienți pentru a realiza identificarea este ceva dependent de context., unele caracteristici sunt atât de unice încât cineva poate fi identificat fără efort. Dacă menționez „șeful nostru”, vei ști exact despre cine vorbesc.
al patrulea element:”persoană fizică”
conceptul de persoană fizică se referă la articolul 6 din Declarația Universală a Drepturilor Omului, potrivit căruia „orice persoană are dreptul la recunoaștere pretutindeni ca persoană în fața legii”. Dreptul la protecția datelor cu caracter personal este, în acest sens, unul universal, care nu se limitează la resortisanții sau rezidenții unei anumite țări., Astfel, o persoană fizică se ocupă de cerința ca „datele personale” să fie despre „persoane vii”. Conform GDPR, datele cu caracter personal ale persoanelor decedate nu sunt acoperite, dar pot primi în mod indirect o anumită protecție în anumite cazuri, în special atunci când aceste date cu caracter personal implică persoane vizate care sunt încă în viață.
ce reprezintă datele sensibile în temeiul GDPR?următoarele date cu caracter personal sunt considerate categorii speciale de date cu caracter personal și fac obiectul unor condiții specifice de prelucrare conform Art., 9 RGPD:
- datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice;
- apartenența sindicală;
- datele genetice, biometrice, date prelucrate exclusiv pentru a identifica o ființă umană;
- date legate de sănătate;
- date privind viața sexuală a unei persoane sau a datelor sensibile.
cum rămâne cu identificatorii online?,
Considerentul 30 din Regulamentul clarifică definiția de „on-line de identificare”, a menționat
în Articolul 4:
„persoanele Fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adrese de protocol internet, identificatorii cookie sau alte elemente de identificare, cum ar fi radio frequency identification tag-uri. Acest lucru poate lăsa urme care, în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere, pot fi utilizate pentru a crea profiluri ale persoanelor fizice și pentru a le identifica.,”
ID-urile dispozitivelor, adresele IP și cookie-urile sunt considerate date personale în conformitate cu GDPR. Conform definiției PII, acestea nu sunt PII deoarece sunt anonime și nu pot fi utilizate singure pentru a identifica, urmări sau identifica o persoană.
cum rămâne cu datele pseudonimizate?
datele cu caracter personal sunt considerate anonimizate dacă nu se referă la o persoană fizică identificată sau identificabilă sau dacă au fost anonimizate astfel încât persoana vizată să nu mai fie sau să nu mai fie identificabilă.,Pseudonimizarea datelor înseamnă înlocuirea oricăror caracteristici de identificare a datelor cu un pseudonim sau, cu alte cuvinte, o valoare care nu permite identificarea directă a persoanei vizate. Datele pseudonimizate sunt considerate în continuare date cu caracter personal?conform articolului 29 din avizul Grupului de lucru, datele cu caracter personal care au fost de-identificate, criptate sau pseudonimizate, dar pot fi utilizate pentru a re-identifica o persoană rămân date cu caracter personal și intră în domeniul de aplicare al GDPR., Datele cu caracter Personal care au fost anonimizate în așa fel încât persoana nu este sau nu mai este identificabilă nu mai sunt considerate date cu caracter personal. Pentru ca datele să fie într-adevăr anonimizate, anonimizarea trebuie să fie ireversibilă.PII include orice informații care pot fi utilizate pentru a re-identifica datele anonime. Informațiile care sunt anonime și nu pot fi utilizate pentru a urmări identitatea unei persoane sunt non-PII. ID-urile dispozitivelor, modulele cookie și adresele IP nu sunt considerate PII pentru majoritatea Statelor Unite. Dar unele state, cum ar fi California, clasifică aceste date drept PII., California clasifică pseudonime și nume de cont ca informații personale, precum și.pe scurt, PII se referă la orice informație care poate fi utilizată pentru a distinge un individ de altul. Definiția GDPR a datelor cu caracter personal este – în mod deliberat – una foarte largă. În principiu, acoperă orice informație care se referă la o persoană identificabilă, vie.
Lasă un răspuns