När organisationer försöker skydda sina användares uppgifter är det nödvändigt att de förstår de uppgifter de behöver för att skydda. Personuppgifter, i samband med GDPR, täcker ett mycket bredare utbud av information än personligt identifierbar information (PII), som vanligtvis används i Nordamerika. Med andra ord, medan alla PII anses vara personuppgifter, är inte alla personuppgifter PII.
detta kräver en förklaring.
Vad är PII?,
personligt definieras identifierbar information av US Office of Privacy och Open Government som:
” Information som kan användas för att skilja eller spåra en persons identitet, till exempel deras namn, personnummer, biometriska register etc. ensam eller i kombination med annan personlig eller identifierande information som är länkad eller länkad till en viss individ, såsom födelsedatum och födelseort, moderns flicknamn etc.,”
för att skilja en individ är att identifiera en individ genom att urskilja en person från en annan och att spåra en individ är att bearbeta tillräcklig information för att göra en bestämning om en viss aspekt av en persons aktiviteter eller status. Efter denna definition betraktas namn, e-postadress, postadress, telefonnummer, personnummer (t.ex. social trygghet, pass, körkort, bankkonto) som PII.
informationen är utformad som länkad om någon personlig information kan användas för att identifiera en individ. (ex.,: födelsenamn). Information kategoriseras som länkbar information om den på egen hand inte är tillräcklig för att kunna identifiera en person, men i kombination med en annan information kan den identifiera, spåra eller lokalisera en person (t.ex. födelsedatum).
ta till exempel två datauppsättningar som innehåller olika PII. När båda datauppsättningarna är tillgängliga för samma person blir det möjligt att identifiera individer från att kombinera datauppsättningarna eller få tillgång till ytterligare information om ämnet. Det är här informationssäkerheten kommer in i bilden., Om kontroller som utformats för att hålla datakällorna åtskilda är otillräckliga, anses data vara länkade. När en ytterligare informationskälla förblir extern eller på avstånd-fallet med siloed-databaser inom organisationer eller via en sökmotor på internet för offentligt tillgänglig information, anses dessa uppgifter vara länkbara.
vad är känslig PII?
PII anses vara känslig om förlusten, kompromissen eller utlämnandet utan tillstånd av dessa uppgifter kan leda till skada, förlägenhet, besvär eller orättvisa för en individ., Till exempel anses följande information vara känslig PII:
- medicinsk
- pedagogisk
- finansiell
- anställningsinformation
vad är personuppgifter under GDPR?,
GDPR i artikel 4 definieras personuppgifter som följande:
”Personuppgifter” avses varje upplysning som avser en identifierad eller identifierbar fysisk person (’registrerade’); en identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet ”.,
i den här definitionen ser vi fyra huvudelement: ”all information”, ”relaterad till”, ”en identifierad eller identifierbar” och ”fysisk person”.
första elementet: ”all information”
termen ”all information” i direktivet kräver tydligt en bred tolkning av begreppet. När det gäller informationens art betyder det att både objektiv och subjektiv information om en person kan betraktas som personuppgifter. När det gäller innehållet omfattar personuppgifter all slags information., Definitionen är också teknikneutral, det spelar ingen roll hur personuppgifterna lagras (t.ex. alfabetisk, numerisk, grafisk, fotografisk, akustisk). Som ett exempel kan bilder av individer som fångas av ett videoövervakningssystem vara personuppgifter i den utsträckning som individerna är igenkännliga.
andra elementet: ”relaterar till”
generellt sett kan information anses”relatera” till en individ när det handlar om den personen., För att överväga data relaterade till någon, bör en av de tre flödande funktionerna vara närvarande: innehåll, syfte eller resultat. Dessa tre funktioner bör betraktas som alternativa villkor och inte som kumulativa. Följaktligen kan samma information relatera till olika individer samtidigt, beroende på vilket element som är närvarande med avseende på var och en.
tredje elementet: ”identifierad eller identifierbar”
”identifierad” när han eller hon inom en grupp av personer ”skiljer sig” från alla andra medlemmar i gruppen., Den fysiska personen är ”identifierbar” när, även om personen inte har identifierats ännu, det är möjligt att göra det.
vilken information kan vara en identifierare? Dataskyddsförordningen innehåller en icke uttömmande förteckning över gemensamma identifierare som, när de används, kan tillåta identifiering av den person som informationen i fråga kan relatera till (t.ex. namn, identifikationsnummer, platsdata, online-identifierare).
begreppet ”direkt” eller ”indirekt” identifierbart innebär att i vilken utsträckning vissa identifierare är tillräckliga för att uppnå identifiering är något beroende av sammanhang.,
vissa egenskaper är så unika att någon kan identifieras utan ansträngning. Om jag nämner ”vår chef”, vet du exakt vem jag talar om.
fjärde delen: ”fysisk person”
begreppet fysisk person hänvisar till artikel 6 i den allmänna förklaringen om de mänskliga rättigheterna, enligt vilken ”alla har rätt till erkännande överallt som en person före lagen”. Rätten till skydd av personuppgifter är i det avseendet en universell sådan som inte är begränsad till medborgare eller invånare i ett visst land., Således behandlar en fysisk person kravet att ”personuppgifter” handlar om ”levande individer”. Enligt den allmänna dataskyddsförordningen omfattas inte de avlidna personernas personuppgifter, men kan fortfarande indirekt få ett visst skydd i vissa fall, särskilt när dessa personuppgifter gäller registrerade personer som fortfarande lever.
vad är känslig data under GDPR?
följande personuppgifter betraktas som särskilda kategorier av personuppgifter och omfattas av särskilda behandlingsvillkor enligt Art., 9 i GDPR:
- personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser;
- fackligt medlemskap;
- genetiska data, biometriska data som behandlas enbart för att identifiera en människa;
- hälsorelaterade data;
- data om en persons sexliv eller känsliga data.
hur är det med online-identifierare?,
i skäl 30 i förordningen klargörs definitionen av ”online-identifierare” som nämns
i artikel 4:
”fysiska personer kan associeras med online-identifierare som tillhandahålls av deras enheter, applikationer, verktyg och protokoll, såsom internetprotokolladresser, cookie-identifierare eller andra identifierare, t.ex. radiofrekvensidentifieringsmärken. Detta kan lämna spår som, särskilt i kombination med unika identifierare och annan information som tas emot av servrarna, får användas för att skapa profiler för fysiska personer och identifiera dem.,”
enhets-ID, IP-adresser och Cookies betraktas som personuppgifter under GDPR. Enligt definitionen av PII är de inte PII eftersom det finns anonyma och inte kan användas på egen hand för att identifiera, spåra eller identifiera en person.
hur är det med pseudonymiserade data?
en personlig information anses vara anonymiserad om den inte avser en identifierad eller identifierbar fysisk person eller om den har gjorts anonym på ett sådant sätt att den registrerade inte eller inte längre kan identifieras.,
pseudonymisering av data innebär att alla identifierande egenskaper hos data ersätts med en pseudonym, eller med andra ord ett värde som inte tillåter att den registrerade identifieras direkt. Betraktas pseudonymiserade uppgifter fortfarande som personuppgifter?
enligt artikel 29 i arbetsgruppens yttrande är personuppgifter som har de-identifierats, krypterats eller pseudonymiserats men som kan användas för att åter identifiera en person fortfarande personuppgifter och omfattas av GDPR., Personuppgifter som har blivit anonyma på ett sådant sätt att individen inte är identifierbar eller inte längre betraktas inte längre som personuppgifter. För att uppgifterna verkligen ska anonymiseras måste anonymiseringen vara oåterkallelig.
PII innehåller all information som kan användas för att identifiera anonyma data igen. Information som är anonym och inte kan användas för att spåra identiteten hos en individ är icke-PII. Enhets-ID, cookies och IP-adresser anses inte vara PII för de flesta av USA. Men vissa stater, som Kalifornien, klassificerar denna data som PII., Kalifornien klassificerar alias och kontonamn som personlig information samt.
i ett nötskal hänvisar PII till all information som kan användas för att skilja en individ från en annan. GDPR – definitionen av personuppgifter är – medvetet-en mycket bred. I princip omfattar den all information som hänför sig till en identifierbar, levande individ.
Lämna ett svar