1. Czy płeć jest uważana za PII?
Płeć nie jest wyraźnie wymieniona jako poufne dane osobowe w ramach RODO. Należy jednak zauważyć, że wszelkie dane osobowe, które można wykorzystać do identyfikacji osoby, w tym płci, mogą nadal podlegać przepisom i rozważaniom ochrony danych.
2. Co jest uważane za poufne dane osobowe?
Wrażliwe dane osobowe obejmują dane osobowe ujawniające pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, członkostwo w jednostce handlowej, dane genetyczne, dane biometryczne przetwarzane wyłącznie w celu zidentyfikowania istoty ludzkiej, danych związanych z zdrowiem i danych dotyczących życia seksualnego lub orientacji seksualnej danej osoby.
3. Jak definiuje się PII?
PII, czyli dane osobowe, to dane, które można wykorzystać do identyfikacji osoby. Może to obejmować takie informacje, jak nazwa, adres, e -mail, numer ubezpieczenia społecznego lub jakikolwiek inny element danych, który może bezpośrednio zidentyfikować konkretną osobę.
4. Jaka jest różnica między danymi łącznymi i niepotrzebnymi?
Połączone dane odnoszą się do unikalnych elementów danych, które mogą bezpośrednio zidentyfikować określoną osobę, taką jak nazwa lub numer ubezpieczenia społecznego. Z drugiej strony niezależne dane odnoszą się do danych uogólnionych, które opisują tożsamość osoby, takie jak płeć, wiek lub dochód, których nie można wykorzystać do bezpośredniej identyfikacji konkretnej osoby.
5. Dlaczego zarządzanie i zabezpieczanie PII jest ważne dla firm?
Zarządzanie i zabezpieczenie PII ma kluczowe znaczenie dla ochrony prywatności i bezpieczeństwa danych osobowych użytkowników. Nieprzestrzeganie tego może spowodować znaczną szkodę, zawstydzenie, niedogodności lub niesprawiedliwość dla jednostek. Ponadto przestrzeganie przepisów dotyczących ochrony danych, takich jak RODO, jest niezbędne, aby uniknąć konsekwencji prawnych i utrzymać zaufanie klientów.
6. Jak Departament Energii USA definiuje PII wysokiego ryzyka?
Departament Energii Stanów Zjednoczonych definiuje PII wysokiego ryzyka jako informacje, które, jeśli utracone, narażone lub ujawnione bez upoważnienia, mogłyby spowodować znaczną szkodę, zawstydzenie, niedogodności lub niesprawiedliwość dla jednostki. Obejmuje to takie dane, jak numery ubezpieczenia społecznego, informacje zdrowotne i medyczne, zapisy biometryczne, informacje finansowe i informacje wykorzystywane do zezwoleń bezpieczeństwa.
7. Jakie inne terminy są używane w odniesieniu do PII?
PII można określić jako dane osobowe, dane osobowe lub poufne informacje, w zależności od konkretnych przepisów i przepisów.
8. Jakie dane muszą być chronione?
Wszelkie dane osobowe, które można wykorzystać do identyfikacji osoby, takie jak imię i nazwisko, adres, numer ubezpieczenia społecznego lub e -mail, muszą być chronione, aby zapewnić prywatność i bezpieczeństwo danych osób.
9. Jak firmy mogą chronić PII?
Firmy mogą chronić PII, wdrażając silne środki bezpieczeństwa danych, takie jak szyfrowanie, kontrole dostępu i regularne audyty bezpieczeństwa. Wdrażanie zasad prywatności, uzyskiwanie zgody użytkownika i dostarczanie jasnych informacji na temat gromadzenia i wykorzystywania danych osobowych są również niezbędnymi krokami w ochronie PII.
10. W jaki sposób SkyFlow Data Crywność może pomóc w zarządzaniu PII?
Skyflow Data Prywatna Vault to rozwiązanie, które pomaga firmom bezpiecznie zarządzać i chronić PII. Zapewnia bezpieczne środowisko do przechowywania i zarządzania poufnymi danymi, z takimi funkcjami, jak szyfrowanie, tokenizacja i ścisłe kontrole dostępu, aby zapewnić prywatność danych i bezpieczeństwo danych.
11. Jakie są szczególne warunki przetwarzania wrażliwych danych osobowych?
Szczególne warunki przetwarzania poufnych danych osobowych mogą się różnić w zależności od obowiązujących przepisów i przepisów dotyczących ochrony danych. Jednak ogólnie wrażliwe na przetwarzanie danych osobowych wymaga wyższego poziomu ochrony i może wymagać uzyskania wyraźnej zgody osób lub spełnienia dodatkowych wymagań w celu zapewnienia zgodnego z prawem i bezpiecznym przetwarzaniem.
12. W jaki sposób RODO definiuje poufne dane osobowe?
RODO nie definiuje wyraźnie poufnych danych osobowych. Zamiast tego odnosi się do poufnych danych osobowych jako „specjalnych kategorii danych osobowych.„Obejmują one dane ujawniające pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, członkostwo w jednostce handlowej, dane genetyczne, dane biometryczne przetwarzane wyłącznie w celu zidentyfikowania istoty ludzkiej, danych związanych z zdrowiem i danych dotyczących życia seksualnego lub orientacji seksualnej danej osoby.
13. Jakie są kluczowe rozważania dotyczące obsługi wrażliwych danych osobowych?
Podczas obsługi poufnych danych osobowych firmy powinny zapewnić, że istnieją odpowiednie środki bezpieczeństwa w celu ochrony danych przed nieautoryzowanym dostępem lub ujawnieniem. Powinny one również spełniać obowiązujące wymogi prawne, takie jak uzyskanie konkretnej zgody na przetwarzanie poufnych danych i zapewnienie osobom jasnych i przejrzystych informacji na temat wykorzystania ich danych.
14. W jaki sposób firmy mogą zapewnić zgodność z umowami ochrony danych?
Aby zapewnić zgodność z umowami dotyczącymi ochrony danych, firmy powinny przeglądać i zrozumieć obowiązujące przepisy i przepisy, ustalić dokładne zasady i procedury ochrony danych, szkolić pracowników w zakresie najlepszych praktyk ochrony danych, regularnie oceniaj i aktualizuj środki bezpieczeństwa danych oraz w razie potrzeby ubiegać się o radę prawną.
15. Jakie są potencjalne konsekwencje naruszenia umów bezpieczeństwa informacji?
Naruszenie umów bezpieczeństwa informacji może prowadzić do różnych konsekwencji, w tym zobowiązań prawnych, kar finansowych, szkód reputacji i zaufania klientów oraz utraty możliwości biznesowych. Kluczowe jest, aby firmy poważnie traktowały bezpieczeństwo informacji i priorytetyzować ochronę danych osobowych.

Co to jest PII

Ponieważ RODO wstrząsa wszystkim w chwili, gdy pracuję nad kilkoma zmianami w naszej stronie internetowej/procesie. Pracuję w e -commerce w UX (w Wielkiej Brytanii) i wspieram zespoły marketingowe z pewnymi działaniami. Moje pytanie brzmi: czy płeć indywidualnej liczy się jako PII? Przechowujemy płeć w warstwie danych jako zmienna JavaScript, która odbywa się w naszym własnym biznesie, możemy następnie wybrać przekazanie tych zmiennych na platformę testową, aby kierować osobami na podstawie obecności tych zmiennych. Ponieważ nie jestem osobą prawną/typu danych, nie jestem w 100% pewien, czy przez nas przechowywanie i posiadanie środków do przekazania płci osoby (wyciągnięte z informacji, które otrzymujemy, gdy tworzą z nami konto), naruszamy wszelkie umowy bezpieczeństwa informacji? Jeśli zależy to od polityki firmy itp. Wtedy po prostu daj mi znać, a zamknę pytanie, ponieważ tak naprawdę nie jest to tutaj.

Jakie dane osobowe są uważane za wrażliwe?

Rozważane są następujące dane osobowe ‘wrażliwy’ i podlega konkretnym warunkom przetwarzania:

  • Dane osobowe ujawniające pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne;
  • członkostwo w jednostce handlowej;
  • Dane genetyczne, dane biometryczne przetwarzane wyłącznie w celu zidentyfikowania istoty ludzkiej;
  • dane związane ze zdrowiem;
  • Dane dotyczące osoby’S życie seksualne lub orientacja seksualna.

Bibliografia

  • Artykuł 4 ust. 13, (14) i (15) i artystyk 9 ​​i recitale (51) do (56) RODO

Podziel się tą stroną

Ta strona jest zarządzana przez Generalne Dyrekcji ds. Komunikacji

  • Strategia
  • O Komisji Europejskiej
  • Biznes, gospodarka, euro
  • Żyj, pracuj, podróżuj w UE
  • Prawo
  • Finansowanie, oferty
  • Badania i innowacje
  • Energia, zmiany klimatu, środowisko
  • Edukacja
  • Pomoc, współpraca rozwojowa, prawa podstawowe
  • Żywność, rolnictwo, rybołówstwo
  • Rozwój regionalny i miast w UE
  • Praca w Komisji Europejskiej
  • Statystyka
  • Aktualności
  • Wydarzenia
  • Publikacje
  • Skontaktuj się z Komisją Europejską
  • Dostępność
  • Podążaj za Europejską Komisją ds. Mediów społecznościowych
  • Zasoby dla partnerów
  • Języki na naszych stronach internetowych
  • Ciasteczka
  • Polityka prywatności
  • Nota prawna

Co to jest PII?

Co to jest PII? Definicje różnią się, ale ogólnie rzecz biorąc, że można zidentyfikować osobę lub PII, to dane, które można wykorzystać do identyfikacji osoby. Dla użytkownika Twojego produktu ich PII to dane, które wprowadzają, aby się zidentyfikować podczas tworzenia konta, takie jak adres e -mail lub numer telefonu.

Dane PII składają się “łącze” I “Niezależne” dane. Uogólnione dane opisujące osobę’Tożsamość, taka jak płeć, wiek, data urodzenia, geolokokacja, dochód lub cokolwiek innego, czego nie można użyć do bezpośredniej identyfikacji konkretnej osoby, nazywa się „niezależne dane.„Unikalne elementy danych, takie jak nazwa, adres, e -mail, numer ubezpieczenia społecznego lub inne informacje, które można użyć do bezpośredniej identyfikacji konkretnej osoby, nazywa się”.”

Pojęcie PII istnieje już od jakiegoś czasu, ale ostatnio stał się ważniejszy niż kiedykolwiek, aby firmy zarządzają i zabezpieczając PII.

W tym poście my’Spójrz na różne rodzaje PII, które rodzaje informacji można uznać za PII, dlaczego ochrona prywatności i bezpieczeństwa PII jest teraz ważniejsza niż kiedykolwiek wcześniej, oraz jak skyflow Data Prywatność może pomóc.

Nie wszystkie PII są tworzone równe

Różne władze definiują PII na różne sposoby, więc dobrym miejscem do rozpoczęcia jest rozważenie Co ktoś może zrobić z informacją. Na przykład, podczas gdy rozważana jest data urodzenia “Niezależne” Dane, można je wykorzystać w połączeniu z “łącze” Dane do omijania metod uwierzytelniania i uzyskania dostępu do ważnych zasobów online, takich jak konta bankowe i dokumentacja medyczna.

Do tego momentu określa Departament Energii USA “Wysokie ryzyko” PII jako informacje, że “Gdyby utracony, zagrożony lub ujawniony bez upoważnienia, może spowodować znaczną szkodę, zawstydzenie, niedogodności lub niesprawiedliwość dla jednostki.” Obejmuje to takie dane, jak numery ubezpieczenia społecznego, informacje zdrowotne i medyczne, zapisy biometryczne (takie jak odciski palców i DNA), informacje finansowe (na przykład numery kart kredytowych, raporty kredytowe i numery konta bankowego) oraz informacje wykorzystywane do rozliczeń bezpieczeństwa. Innymi słowy, PII wysokiego ryzyka to dowolne dane, które stanowią znacznie większe ryzyko niż inne dane, jeśli wpadnie w ręce złośliwego aktora.

Ponadto przepisy i prawa często odnoszą się do PII w wielu innych terminach, takich jak “informacje osobiste,” “dane osobiste,” Lub “Wrażliwa informacja.” Ostatecznie jednak wszystkie przybliżają to samo: dane o jednostce, które ze względu na jej potencjał wyrządzenia szkody, muszą być szczególnie chronione.

Tak więc, ponieważ firmy pracują nad zabezpieczeniem PII, pytania te: które dane muszą być chronione? I co kwalifikuje się jako PII?

PII staje się priorytetem dla organów regulacyjnych

Ponieważ firmy zaczęły gromadzić więcej danych poprzez rozprzestrzenianie się aplikacji i usług w chmurze, rządy wprowadziły nowe przepisy dotyczące danych, aby upewnić się, że firmy podejmują środki w celu ochrony tych danych. Unia Europejska’S RODO i Kalifornia’S CPRA stworzyło przepisy dotyczące tego, w jaki sposób PII jest zbierany, przechowywany i transakcji. Przepisy te poszerzyły definicję PII i wymagały od firm przemyślenia, w jaki sposób zbierają, przechowują i przetwarzają PII.

W wielu przypadkach firmy musiały dokonywać znacznych inwestycji, zbudować zupełnie nowe procesy i przyjąć nowe technologie, aby lepiej zrozumieć, jakie PII zbierają i jak podróżuje za pośrednictwem swojej organizacji. Często oznacza to, że ocenianie ich sklepów danych lub jezior danych w celu uzyskania bardziej drobnej kontroli nad tym, w jaki sposób uzyskują dostęp do PII. W przypadku wielu firm spowodowało to mozaikę rozwiązań dotyczących prywatności danych, które tworzą więcej kosztów ogólnych bez oferowania dużej ochrony PII.

Różne przepisy definiują PII inaczej

Różne przepisy i przepisy dotyczące prywatności definiują PII inaczej i mają różne wymagania dotyczące przechowywania, manipulowania, manipulowania i kontroli. Istnieją również zasady dotyczące praw osoby do żądania szczegółów, które dane są gromadzone, w jaki sposób są używane i jej usunięcie.

Ponieważ jednak technologia i infrastruktura w chmurze poszerzyła horyzonty firm, aby konkurować na rynku globalnym, firmy zwykle decydują się na przestrzeganie najściślejszych polis w celu spełnienia Wszystko Zasady.

PII pod CPRA

Chociaż Stany Zjednoczone nie uchwaliły jeszcze kompleksowego prawa prywatności podobnego do UE’R RODO, poszczególne państwa przyjęły własne prawa i wymagania. Kalifornia’Przepisy dotyczące prywatności należą do najsurowszych w kraju. I dzięki państwu’wielkość, gospodarka i wpływ jako epicentra.

Nowa Kalifornijska ustawa o prawach prywatności (CPRA) – która zmienia 2018’S California Consumer Privacy Act (CCPA) – definiuje nowy poziom danych znanych jako “Poufne dane osobowe” (SPI). Wrażliwe dane osobowe obejmują identyfikator logowania i hasło, precyzyjne geolokalizację, rasę i pochodzenie etniczne, orientacja seksualna i dane genetyczne. CPRA rozszerza również ochronę mieszkańców Kalifornii’ Dane osobowe poza konsumentem (“biznes dla klienta” Lub “B2C”) Dane’s w zakresie CCPA. Z danymi CPRA, danych biznesowych (B2B), danych HR i danych osobowych przechowywanych w innych kontekstach mają takie same zabezpieczenia jak dane konsumenckie.

PII w ramach RODO

Ogólne rozporządzenie o ochronie danych (RODO) to UE’Zestaw wymagań dotyczących prywatności regulujące obie firmy prowadzące działalność w UE lub z mieszkańcami UE. Podobnie jak CPRA, ze względu na znaczenie ekonomiczne rynków UE i surowość RODO, stała się standardem prywatności danych dla firm na całym świecie.

RODO rozszerza definicję PII (lub “dane osobiste” Jak wspomniano w samym ustawodawstwie) w celu uwzględnienia informacji finansowych, loginów, danych biometrycznych, fotografii, które wyraźnie przedstawiają indywidualne dane dotyczące lokalizacji geograficznej, rasę, płeć, opinie polityczne, przekonania religijne lub filozoficzne, identyfikatory cookie i adresy IP. To sprawia, że ​​RODO’S Definicja znacznie szersza niż podstawowa definicja danych osobowych, która obejmuje takie podstawy, jak imię i nazwisko oraz adres domowy.

Mówiąc dokładniej, art. 4 RODO określa dane osobiste Jak: “Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (“Omysłowanie danych”); Zidentyfikowalna osoba naturalna to osoba, którą można zidentyfikować, bezpośrednio lub pośrednio, w szczególności przez odniesienie do identyfikatora, takiego jak nazwa, numer identyfikacyjny, dane lokalizacji, identyfikator online lub jeden lub więcej czynników specyficznych dla fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej lub społecznej tożsamości tego człowieka naturalnego.”

Tutaj’jest ilustracją niektórych rodzajów danych, które jakość jako dane osobowe w ramach:

PII według NIST

National Institute of Science and Technology (NIST) opracował przewodnik po ochronie poufności PII, który służy jako de facto standard dla organizacji naukowych i technologicznych, które współpracują z rządem USA.

NIST zawiera następujące jako PII:

  • Imię, takie jak imię i nazwisko, nazwisko panieńskie, nazwisko panieńskie matki lub pseudonim
  • Numer identyfikacji osobistej, taki jak numer ubezpieczenia społecznego (SSN), numer paszportowy, numer prawa jazdy, numer identyfikacyjny podatnika, rachunek finansowy lub numer karty kredytowej
  • Informacje o adresie, takie jak adres uliczny lub adres e -mail
  • Charakterystyka osobowa, w tym obraz fotograficzny (zwłaszcza twarzy lub innej cechy identyfikacji), odciski palców, pisma ręczne lub inne dane biometryczne (e.G., Skan siatkówki, podpis głosowy, geometria twarzy)
  • Informacje o osobie, która jest powiązana lub powiązana z jednym z powyższych (e.G., Data urodzenia, miejsce urodzenia, rasa, religia, waga, działania, wskaźniki geograficzne, informacje o zatrudnieniu, informacje medyczne, informacje o edukacji, informacje finansowe)

Więc co Naprawdę Liczy się jako PII?

Jak widać po przeczytaniu tego podsumowania tego, jak PII (lub “informacje osobiste”) jest zdefiniowane przez różne prawa i organizacje, istnieje wiele różnic między tymi definicjami.

A to oznacza, że ​​najbezpieczniejszym podejściem dla organizacji, które chcą chronić te istotne dane, jest zastosowanie szerokiej definicji PII, aby mogły złagodzić zgodność z aktualnymi przepisami i pozycjonować się w celu łatwego przestrzegania przyszłych przepisów.

Wiek prywatności danych

Ponieważ PII jest fundamentalną częścią tego, jak klienci używają twoich produktów, potrzebujesz skutecznego sposobu korzystania z PII bez narażania danych klientów. Potrzebujesz nowego podejścia, które ponownie przenika, w jaki sposób dane PII są przechowywane i wykorzystywane w całej organizacji. I powinieneś być w stanie chronić swoich klientów’ Najbardziej poufne dane bez poświęcania użyteczności danych. Składa się z nowego paradygmatu: wiek prywatności danych.

W Skyflow, my’opracował Zero Trust Data Prywatna Vault, która wykorzystuje technologię zachowania prywatności do ochrony danych PII, jednocześnie umożliwiając wykorzystanie tych danych w celu zwiększenia rozwoju firmy. Dzięki SkyFlow możesz przechowywać swoje poufne dane w izolowanym, scentralizowanym magazynie danych i zmniejszyć ilość przechowywanych przez Ciebie w innych aplikacjach i systemach. Takie podejście zmniejsza ogólną ekspozycję PII w twoich systemach i izoluje je do centralnego sklepu, który możesz rządzić z zasadami kontroli dostępu.

SkyFlow został opracowany, aby pomóc firmom nadążać za ciągle ewoluującą mozaiką przepisów dotyczących prywatności. Skyflow Data Prywatna Vault nie tylko pomaga izolować, chronić i rządzić PII, ale także łagodzi zgodność z przepisami i przepisami dotyczącymi prywatności danych, w tym wymagania takie jak rezydencja danych.

W tej nowej erze prywatności danych, wykorzystanie rozwiązań architektonicznych w celu uświadomienia sobie obietnicy prywatności według projektowania staje się coraz bardziej krytyczne. Dzięki funkcjom zachowującym prywatność, takim jak tokenizacja, szyfrowanie, maskowanie i redakcja, SkyFlow umożliwia firmie spełnienie wymagań zgodności i zmniejsza zakres i wpływ potencjalnych naruszeń danych.

Aby przeczytać więcej o Skyflow Data Prywatność Vault, przeczytaj nasz post na blogu o sklepieniach dotyczących prywatności danych.

Gotowy, aby to zobaczyć sam?

Skontaktuj się z naszym zespołem, aby zobaczyć, w jaki sposób SkyFlow może pomóc ci chronić prywatność i bezpieczeństwo poufnych danych (w tym PII), jednocześnie zmniejszając przepisy dotyczące prywatności danych.

O informacji osobowych (PII)

Informacje o osobistej identyfikowaniu (PII) to dowolne dane, które można wykorzystać do rozróżnienia lub śledzenia tożsamości jednostki, samodzielnie lub w połączeniu z innymi informacjami. Przykłady zawierają nazwę, adres domowy, adres e -mail, numer ubezpieczenia społecznego, numer prawa jazdy, numer konta bankowego, numer paszportu, data urodzenia, biometria, takie jak odciski palców lub informacje powiązane lub powiązane z osobami, taką jak informacje medyczne, edukacyjne, finansowe i zatrudnienia.

Informacje takie jak płeć, rasa, religia i stan cywilny zwykle nie są uważane za same PII. Jednak informacje te powinny być nadal traktowane jako wrażliwe, ponieważ mogą zidentyfikować osobę w połączeniu z innymi danymi.

Specjalny podzbiór PII jest chroniony informacjami zdrowotnymi (PHI). Aby uzyskać więcej informacji, zobacz o chronionych informacji o zdrowiu (PHI).

Chroń PII

W niewłaściwych rękach ujawnienie informacji osobowych (PII) może narażać osoby na ryzyko i prowadzić do zidentyfikowania kradzieży i innych form oszustw. Jeśli zarządzasz PII w ramach swojej roli na uniwersytecie, ważne jest, aby zabezpieczyć dane i upewnić się, że odpowiednie umowy i umowy są obowiązujące przed opublikowaniem tego rodzaju informacji stronom trzecim. Aby uzyskać więcej informacji, zobacz umowę o prywatność i bezpieczeństwo danych lub dodatek oraz umowy o udostępnianiu danych.

Zasady dostępu do danych do udostępniania i dostępu do PII

Tylko osoby z uzasadnioną potrzebą powinny mieć dostęp do PII w twoich systemach. Muszą istnieć ograniczenia dostępu, aby odpowiednio przypisać PII. Ponadto ważne jest, aby pamiętać o tych kluczowych zasadach dostępu do danych podczas zarządzania tego typem danych:

  • Dostęp do danych tylko w celu prowadzenia działalności uniwersyteckiej.
  • Nie dostęp do danych dla osobistego zysku lub ciekawości.
  • Ogranicz dostęp do minimalnej ilości informacji potrzebnych do wykonania zadania. Na przykład: Jeśli tworzysz lub uruchamiasz raport, a odbiorcy nie wymagają pełnej daty urodzin ani pochodzenia etnicznego, nie uwzględnij tych dziedzin w raporcie.
  • Szanuj poufność i prywatność osób, których zapisy uzyskujesz dostęp. Na przykład: Kiedy publicznie nie mów o poufnych informacjach, w których nieautoryzowane osoby mogą usłyszeć rozmowę.
  • Nie udostępniaj danych IU stronom trzecim, chyba że jest to części I Został zatwierdzony przez odpowiednich zarządców danych. Na przykład: Jeśli kupujesz produkt vended, który zbiera dane instytucjonalne, musisz skontaktować się z odpowiednim zarządcą danych w celu zatwierdzenia przed jakimkolwiek gromadzeniem danych lub udostępnianiem danych. Podobnie, jeśli prowadzisz badania z kolegami spoza IU, przed udostępnieniem jakichkolwiek danych, musisz mieć pisemną zgodę na komisję rewizyjną ludzi i odpowiednich zarządcy danych. Aby uzyskać więcej informacji, zobacz udostępnianie danych instytucjonalnych stronom trzecim.
  • Jeśli nie masz pewności co do procedur obsługi danych:
    • Sprawdź zasoby w bazie wiedzy IU, zarządzanie danymi @ IU oraz bezpieczeństwo i polityka informacji.
    • Skonsultuj się z ludźmi IT lub odpowiednim zarządcą danych lub wyślij pocztę do [email protected] .

    To jest dokument BHII W bazie wiedzy.
    Ostatnio zmodyfikowane 2022-08-24 16:49:45 .

    Czy płeć jest uważana za PII (dane osobowe) w ramach RODO?

    Ponieważ RODO wstrząsa wszystkim w chwili, gdy pracuję nad kilkoma zmianami w naszej stronie internetowej/procesie. Pracuję w e -commerce w UX (w Wielkiej Brytanii) i wspieram zespoły marketingowe z pewnymi działaniami. Moje pytanie brzmi: czy płeć indywidualnej liczy się jako PII? Przechowujemy płeć w warstwie danych jako zmienna JavaScript, która odbywa się w naszym własnym biznesie, możemy następnie wybrać przekazanie tych zmiennych na platformę testową, aby kierować osobami na podstawie obecności tych zmiennych. Ponieważ nie jestem osobą prawną/typu danych, nie jestem w 100% pewien, czy przez nas przechowywanie i posiadanie środków do przekazania płci osoby (wyciągnięte z informacji, które otrzymujemy, gdy tworzą z nami konto), naruszamy wszelkie umowy bezpieczeństwa informacji? Jeśli zależy to od polityki firmy itp. Wtedy po prostu daj mi znać, a zamknę pytanie, ponieważ tak naprawdę nie jest to tutaj.

    zapytał 17 maja 2018 o 11:22

    301 1 1 Złota odznaka 2 2 Srebrne odznaki 9 9 brązowych odznaki

    Proszę zapoznać się z tym – dbsdata.współ.UK/WP-Content/Uploads/2018/03/… Czy mogę po prostu wspomnieć, że wcale nie bierz żadnych komentarzy/odpowiedzi tutaj jako porady prawnej. Jeśli nadal nie masz pewności, skorzystaj z profesjonalnej porady prawnej. Na stronie 10 mojego linku znajdziesz listę wszystkich danych uważanych za „PII”

    – User173641

    17 maja 2018 o 11:38

    @JoshJones oczywiście chciałem tylko ocenić, czy powinienem iść dalej, aby zainwestować to. Dzięki za pomoc.

    17 maja 2018 o 12:16

    Jeśli po prostu przechowujesz agregację płci, która nie może zidentyfikować osoby, jesteś trochę bezpieczny. Jeśli przechowujesz mnóstwo danych, które mogą łączyć się z płcią, odpowiedź brzmi „. Jeszcze inny przykład, jeśli opracuje „licznik toalety” do zbadania, czy toaleta powinna zostać rozszerzona, skorzystaj z czujnika ruchu do liczenia, jest w porządku. Jeśli jednak budynek ma tylko jedną kobietę, będzie to wyraźna inwazja prywatności. Tak więc zdrowy rozsądek również wchodzi w grę.

    17 maja 2018 o 12:29

    Ile masz opcji na płeć? Mogą być na przykład rzadkie konfiguracje chromosomów płciowych, takie jak xxxxy, które zbliżają się do identyfikacji osób.

    17 maja 2018 o 13:01

    @Cronax nie przypisujemy użytkownikom automatycznie płci – wybierają sami w momencie tworzenia konta. To całkowicie wolny wybór. Jest faktycznie używany, więc nie wysyłamy reklam do ubioru i bielizny damskiej do naszych klientów męskich. To omówienie może trwać wiecznie, więc zostawmy to w spokoju ze względu na wątek!

    17 maja 2018 o 15:09

    2 Answers 2

    Definicja danych osobowych, jak wspomniano w RODO:

    ‘dane osobiste’ oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (‘Omysłowanie danych’); możliwą do zidentyfikowania osobę naturalną to osoba, którą można zidentyfikować, bezpośrednio lub pośrednio, w szczególności przez odniesienie do identyfikatora, takiego jak nazwa, numer identyfikacyjny, dane lokalizacji, identyfikator online lub jeden lub więcej czynników specyficznych dla tożsamości fizycznej, fizjologicznej, genetycznej, mentalnej, ekonomicznej, kulturowej lub społecznej tej osoby naturalnej;

    Gdy twierdzisz, że używasz obecności zmiennej do atakowania osób, płeć zdecydowanie ma pośrednie odniesienie do czyjąś tożsamości i jako takie są dane osobowe. Nie oznacza to jednak, że musisz przestać przetwarzać płeć w opisanym kontekście.

    Z perspektywy ryzyka (o co chodzi w RODO), nie widzę problemu, jeśli udostępniasz tylko płeć – która jest faktycznie pseudonimizowana, ponieważ nie dostarczasz żadnych innych bezpośrednich danych identyfikacyjnych wraz z tym.

    Jednakże, Masz inne obowiązki w.R.T. Zasada przejrzystości, włączająca działalność przetwarzania do rejestru przetwarzania, określając podstawę prawną do przetwarzania (i odpowiednio działać), określenie relacji kontrolera procesora z stroną trzecią i obejmując niezbędne klauzule w umowie itp. Aby ustalić to wszystko, wymagane jest znacznie więcej informacji niż dostarczyłeś w swoim pytaniu, a ja bardzo zachęcam do poszukiwania (prawnej) profesjonalnej porady, aby wspierać Cię w tej sprawie.

    Informacje o osobistej identyfikowaniu (PII) vs. Dane osobowe – co’S różnica?

    Informacje osobowe (PII) vs. dane osobowe - jaka jest różnica?

    Kluczową zasadą kryminalistyki jest to “Każdy kontakt pozostawia ślad.” Niewiele osób jest w pełni świadomych, ile śladów danych osobowych opuszczają każdego dnia. Niektóre z tych informacji są ogólne lub anonimowe, ale znacznie więcej może sugerować lub ujawnić tożsamość, niż wiele osób zdaje sobie sprawę.

    przez usercencics

    3 marca 2021

    Informacje osobowe (PII) vs. dane osobowe - jaka jest różnica?

    Spis treści

    Pokaż więcej pokazów

    Zarezerwuj demo

    Dowiedz się, w jaki sposób nasze rozwiązanie do zarządzania zgodą może poprawić prywatność i wrażenia użytkowników dla użytkowników.

    Uzyskaj teraz bezpłatny audyt prywatności danych!

    Ups, coś jest nie tak z adresem URL. Prosze Sprawdź ponownie.

    9 minut do czytania

    Wstęp

    Kluczową zasadą kryminalistyki jest to “Każdy kontakt pozostawia ślad.” Niewiele osób jest w pełni świadomych, ile śladów danych osobowych opuszczają każdego dnia. Niektóre z tych informacji są ogólne lub anonimowe, ale znacznie więcej może sugerować lub ujawnić tożsamość, niż wiele osób zdaje sobie sprawę.

    Osoby identyfikujące szczegóły są osobistą informacją (PII), które są kluczowym elementem polityk prywatności, ram ochrony danych, przepisów rządowych i różnorodnych przestępstw technologicznych. Im bardziej produkujemy PII, tym bardziej złożone staje się bezpieczeństwo.

    Zwiększając złożoność, “dane osobiste”, inny powszechnie używany termin, nie jest taki sam jak “Dane osobowe”. Kolekcjonerzy, użytkownicy i nabywcy informacji, od prywatnych firm po organizacje charytatywne po rządy, mieli ciągłe obowiązki prawidłowego kategoryzacji i ochrony informacji, które żądają, używają, przechowują, sprzedają lub zgłaszają.

    Nie wszystkie przepisy dotyczące prywatności są takie same. Czy znasz swoje wymagania dotyczące zgodności danych?

    Sprawdź nasze seminarium internetowe w CCPA i dlaczego wymóg „nie sprzedawaj moich danych osobowych”.

    Co to jest dane osobowe (PII)?

    Informacje osobowe (PII) składają się z informacji, które same lub połączone z ograniczoną ilością innych danych mogą być wykorzystane do identyfikacji osoby. Organizacje mają obowiązek zabezpieczenia i wykorzystywania wszystkich informacji, które gromadzi od użytkowników lub klientów. Jednak niektóre rodzaje informacji są uważane za bardziej wrażliwe niż inne.

    Termin “Dane osobowe” jest powszechnie stosowany w różnych organizacjach i branżach, szczególnie w Stanach Zjednoczonych. Jednak chociaż jest używany zarówno przez agencje rządowe, jak i pozarządowe, jego znaczenie może się różnić i nie jest to termin lub definicja prawna.

    Co jest wrażliwe osobiście, które można identyfikować?

    PII, które mogą być bezpośrednio związane z osobą’tożsamość, podobnie jak imię i nazwisko lub numer karty kredytowej, jest również określana jako poufne informacje osobowe lub powiązane dane. Wynika to z faktu, że informacje te są bezpośrednio lub prawie bezpośrednio powiązane i mogą ujawnić osobę’to tożsamość.

    Co ważniejsze, takie informacje są wrażliwe z powodu potencjalnej szkody, jakie jego niewłaściwe użycie może zrobić. Odbywa się to od publicznego zawstydzenia po przestępstwo, jeśli informacje zostaną utracone, skradzione lub ujawnione bez upoważnienia.

    Niektóre przykłady połączonych/wrażliwych PII:

    • imię i nazwisko
    • adres domowy
    • adres e -mail
    • numer telefonu
    • numer paszportu
    • kierowca’S Numer licencji
    • Numer ubezpieczenia społecznego
    • Zdjęcie twarzy
    • numer karty kredytowej
    • Nazwa użytkownika konta
    • odciski palców
    • księgi finansowe
    • dokumentacja medyczna

    Jednak pomimo szerokiej różnorodności i wrażliwości takich informacji, nie ma ani jednej globalnej definicji informacji osobistych ani tego, jakie rodzaje informacji obejmuje. W rezultacie definicje PII mogą różnić się między organizacjami i ponad granicami.

    Co to jest niewrażliwe PII?

    Tego rodzaju informacje są również określane jako dane, które można połączyć, ponieważ wymaga połączenia większej liczby elementów danych, aby ustanowić osobę’to tożsamość. Podczas gdy wrażliwy PII może samodzielnie ujawniać tożsamość lub z bardzo ograniczonymi połączonymi źródłami informacji.

    Niektóre przykłady połączenia lub niewyrażające PII:

    • imię pierwszego lub nazwiska (jeśli to’s powszechny)
    • matka’s panieńskie
    • Częściowy adres, jak kraj lub kod pocztowy
    • przedział wiekowy, E.G. 35-44
    • Data urodzenia
    • płeć
    • pracodawca

    Podczas tworzenia konta na stronie internetowej adresy e -mail lub wybrane nazwy użytkowników byłyby PII. Hasło konta również byłoby PII, ale musiałoby być powiązane z adresami e -mail lub innymi powiązanymi danymi, aby ujawnić tożsamość. Platforma zarządzania zgodą (CMP) pomaga zharmonizować marketing, zarządzanie danymi i wymagania prawne oparte na stronach internetowych.

    Jeśli dana osoba dokonuje zakupu online, wszystkie informacje, o które zostaliby poproszeni, to PII, w tym imię i nazwisko, firma, adres wysyłkowy/rozliczeniowy, adres e -mail, numer telefonu i numer karty kredytowej.

    Jednak nie są to wszystkie informacje generowane przez taką transakcję,. W zależności od zakupu przedmiot’numer seryjny może stać się PII. Pliki cookie zapisane w przeglądarce, ponieważ przeglądały strony internetowe byłyby PII. Podobnie jak klient’S Lokalizacja oparta na ich adresie IP. Jeśli strona nie była bezpieczna, za pomocą certyfikatu SSL i wyświetlanie “https” na stronie’URL, wszystkie informacje mogą być również narażone na nieautoryzowany dostęp.

    Co to jest informacje nieosobowe?

    Informacje o nieosobowej identyfikowaniu są danymi o osobie lub danych wynikających z jej działań, że sam nie można użyć do zidentyfikowania kogoś. Może to być spowodowane tym, że informacje są już anonimowe i częścią większego zestawu danych lub dlatego, że zostały anonimowe.

    Niektóre przykłady informacji nieosobowych:

    • Adresy IP, które zostały w pełni lub częściowo zamaskowane
    • Zagregowane statystyki z bazy użytkowników dla produktu lub usługi
    • Dane, które zostały anonimizowane przez szyfrowanie, usuwanie identyfikacji informacji lub innej techniki

    Niektóre organizacje uważają identyfikatory cookie i identyfikatorów urządzeń za nie-PII, podczas gdy inne uważają, że informacje można to zidentyfikować.

    Informacje osobowe (PII) na arenie międzynarodowej

    Wariancje terminologii i definicji

    Niektóre kraje używają “dane osobiste” Lub “informacje osobiste” zamiast “Dane osobowe” odnosząc się do rodzajów informacji, które mogą zidentyfikować osobę.

    W Stanach Zjednoczonych Przewodnik po ochronie poufności informacji osobowych (PII) . Opublikowane przez National Institute of Standards and Technology (NIST), zapewnia najczęściej stosowaną definicję PII:

    “PII to wszelkie informacje o osoby prowadzonej przez agencję, w tym (1) wszelkie informacje, które można wykorzystać do rozróżnienia lub śledzenia osoby‘tożsamość, taka jak imię i nazwisko, numer ubezpieczenia społecznego, data i miejsce urodzenia, matka‘s panieńskie lub rekordy biometryczne; oraz (2) wszelkie inne informacje, które są powiązane lub powiązane z daną osoby, takie jak informacje medyczne, edukacyjne, finansowe i zatrudnienia.”

    Wiele przepisów i jurysdykcji

    Stany Zjednoczone i Kanada to dwa kraje, które mają zarówno federalne, jak i stanowe/prowincjonalne przepisy dotyczące prywatności. W Stanach Zjednoczonych Kalifornia ma jedne z najsilniejszych przepisów na poziomie państwowym, z California Consumer Privacy Act (CCPA) . Definiuje i reguluje kategorie, źródła i wykorzystanie danych osobowych dla ludzi. Kalifornia będzie miała również Kalifornijską ustawę o prawach prywatności (CPRA), gdy wejdzie w życie w 2023 roku.

    Globalny wpływ RODO

    Definicje tego, co stanowi PII i jak należy go zbierać, zabezpieczyć, wykorzystywane, rozmieszczone i niszczone różnią się znacznie poza Unią Europejską (UE). Unia Europejska’S RODO ma najszerszy zasięg, ponieważ ma on zastosowanie do wszystkich państw członkowskich UE; Islandia, Liechtenstein i Norwegia; oraz partnerzy handlowi UE.

    Niektóre kraje mają własne krajowe przepisy oparte na RODO lub zaprojektowane tak, aby były z nim zgodne, ze szczegółowymi definicjami danych osobowych i obywateli’ prawa. Inne kraje, takie jak Wielka Brytania z ustawą o ochronie danych z 2018 r., W dużej mierze wdrożyły RODO.

    Wielka Brytania jest w interesującym stanowisku, ponieważ były one państwem członkowskim UE, kiedy wchodzi w życie RODO, jak i ich ustawa o ochronie danych, ale od tego czasu opuściły UE i są teraz zewnętrznym partnerem handlowym, a także muszą przestrzegać RODO, a nie egzekwować RODO. Dowiedz się więcej o wpływie po Brexit na transfer danych.

    W Kanadzie ustawa o ochronie danych osobowych i dokumentach elektronicznych (PIPEDA) została zaprojektowana z myślą o RODO. Reguluje gromadzenie, wykorzystywanie i ujawnianie danych osobowych dla organizacji sektora prywatnego i ich działalności handlowej. Kanada ma również ustawę o prywatności, która reguluje obywateli’ interakcje z rządem federalnym.

    Zgodność z RODO jest wymagana od organizacji, z którymi angażują się obywatele i firmy UE, nawet jeśli one’nie znajdują się w UE, co czyni RODO wpływ na rozwój i egzekwowanie innych firm i krajów’ Zasady.

    Jakie są dane osobowe w ramach ogólnego rozporządzenia w zakresie ochrony danych (RODO)?

    “Dane osobiste” Jak opisano w ogólnym rozporządzeniu o ochronie danych (RODO), jest terminem prawnym, zdefiniowanym jako:

    “… Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (‘Omysłowanie danych’); Osoba możliwą do zidentyfikowania jest osoba, którą można zidentyfikować, bezpośrednio lub pośrednio, w szczególności przez odniesienie do numeru identyfikacyjnego lub jednego lub więcej czynników specyficznych dla jego tożsamości fizycznej, fizjologicznej, psychicznej, ekonomicznej lub społecznej.”

    RODO podaje również konkretne przykłady zarówno powiązanych, jak i połączonych danych osobowych. Przykłady połączonych danych osobowych obejmują nazwisko, adres e -mail, numery identyfikacyjne osobistego i inne standardowe typy informacji. Przykłady powiązanych danych osobowych obejmują takie rzeczy, jak datę lub miejsce urodzenia, rasy lub płeć.

    PII w ramach RODO

    RODO odnosi się również do informacji osobowych, w szczególności innych niż PII, które są nadal klasyfikowane jako dane osobowe w ramach RODO. Klasyfikacja zależy od konkretnych szczegółów i możliwej anonimizacji informacji.

    Odpowiednie typy danych obejmują identyfikatory urządzeń, pliki cookie przeglądarki, adresy protokołu internetowego (adresy IP), adresy Media Acces.

    Wrażliwe dane w ramach RODO

    RODO klasyfikuje niektóre typy informacji jako poufne dane, które podlegają konkretnie zdefiniowanym warunkom przetwarzania. Jak wspomniano, poufne dane zawierają informacje, które mogą wyrządzić szkodę dla osoby, jeśli zastosowano do identyfikacji i złośliwych celów.

    Niektóre przykłady wrażliwych danych w ramach RODO:

    • pochodzenie rasowe lub etniczne
    • Opinie polityczne
    • przekonania religijne
    • Dane genetyczne
    • orientacja seksualna lub zajęcia

    Co to są dane nieosobowe?

    Dane nieosobowe są również zdefiniowane w RODO, po prostu jako informacje, które nie umożliwiają identyfikacji osoby. Mówiąc dokładniej, określa, że ​​takie dane mogły zostać anonimizowane lub nigdy nie byłyby wrażliwe na początek.

    “Zasady ochrony danych powinny zatem nie mieć zastosowania Informacje anonimowe , mianowicie informacje, które nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby naturalnej lub z danymi osobowymi, które są anonimowe w taki sposób, że podmiot danych nie jest lub nie jest już możliwy do zidentyfikowania .”

    Dane nieosobowe zawierają te same rodzaje informacji, które są sklasyfikowane jako niewrażliwe informacje osobowe poza UE i RODPR.

    Niektóre przykłady danych nieosobowych w ramach RODO:

    • przedział wiekowy, e.G. 35-44
    • Dane spisu powszechnego
    • Zagregowane statystyki dotyczące korzystania z produktu lub usług
    • Adresy protokołu internetowego (adresy IP), które są częściowo lub w pełni zamaskowane

    Czym PII różni się od danych osobowych?

    • prawo do bycia poinformowanym
    • prawo do dostępu
    • prawo do rektyfikacji
    • Prawo do usuwania/bycia zapomnianym
    • Prawo do ograniczenia przetwarzania
    • prawo do przenośności danych
    • prawo do przedmiotu
    • Prawa w odniesieniu do zautomatyzowanego podejmowania decyzji i profilowania

    Co to jest naruszenie PII?

    Odpowiedzialność za ochronę PII może położyć się wraz z organizacją zbierającą i przechowywania informacji, a także z osobami, których dane są. Naruszenie PII może nastąpić, gdy jednostka nie przestrzega wszystkich obowiązujących przepisów.

    Na przykład firma musi chronić dane klientów zgodnie ze standardami ustalonymi przez ich politykę prywatności i bezpieczeństwa korporacyjnego. Ale muszą również spełniać standardy lokalnych rządów stanowych i federalnych oraz partnerów handlowych, aby uniknąć naruszeń PII.

    Rodzaje naruszeń PII

    Naruszenia PII mogą przybierać kilka formularzy, w zależności od tego, jakie naruszenia danych lub niewłaściwe, rodzaje informacji i kto i ile było ofiar. Na przykład kradzież i sprzedaż PII mogą być bardziej szkodliwe niż strata lub zepsucie tych danych.

    Naruszenia PII mogą obejmować naruszenia danych, w których skradzione miliony szczegółowych zapisów. Mogą również obejmować naruszenia niższego poziomu, takie jak firmy, które nie ograniczają dostępu i udostępniania danych między działami wewnętrznymi lub z kontrahentami. Lub organizacje nie mogą odpowiednio anonimować danych przed dostarczeniem ich klientom, partnerom lub badaczom.

    Przykłady naruszeń PII

    Kradzież tożsamości jest powszechną formą naruszenia PII. Nieautoryzowany dostęp do wrażliwych PII może zapewnić złych aktorów dostęp do osób fizycznych’ Konta, bankowość, informacje zdrowotne i więcej. Informacje te można wykorzystać do wszystkiego, od fałszywych zakupów z skradzionymi numerami kart kredytowych po handel ludźmi z skradzionymi informacjami paszportowymi.

    Naruszenia PII mogą odbywać się zarówno online, jak i w przestrzeni fizycznej. Organizacja może mieć doskonałe bezpieczeństwo danych cyfrowych, ale mieć biura z otwartymi pojemnikami recyklingowymi, w których ludzie mogą odrzucić wrażliwe dokumenty papierowe. Sprzęt lub telefony komputerowe mogą być przedmiotem handlu lub recyklingu bez bezpiecznego wycierania lub zniszczenia.

    Wniosek

    Każdy kontakt pozostawia ślad, a w coraz bardziej cyfrowym i połączonym świecie istnieje więcej kontaktów między osobami i organizacjami niż kiedykolwiek wcześniej.

    Bądź na bieżąco z tym ogromnym i stale rozwijającym się tematem i problemem wymaga specjalistycznej wiedzy specjalistycznej i narzędzi. Przyjmij najlepsze praktyki zgodności z naszą listą kontrolną plików cookie RODPR i skontaktuj się z jednym z naszych ekspertów, aby zobaczyć, w jaki sposób CENTRICS może pomóc.

    Informacje o osobistej identyfikowaniu (PII) vs. Dane osobowe – jaka jest różnica?

    Powiązane artykuły

    Nevada Prywatność informacji zebranych w Internecie z Ustawy o konsumentach (Npicyca) i poprawka SB-260: Przegląd

    Npicyca poprzedza Kalifornię’S DANE PRAWA PRYWACJA I są bardziej specyficzne dla prywatności danych na stronach internetowych i innych online.

    Porównanie przepisów dotyczących prywatności danych na poziomie państwowym

    USA nie mają federalnego prawa dotyczącego prywatności, choć 6 stanów uchwaliło przepisy prawne. Porównujemy, co oznaczają te prawa.

    Osiągnąć zgodność z odpowiednimi przepisami.

    Zapisz się do naszego newslettera

    Bądź na bieżąco z najnowszymi wiadomościami na temat prywatności danych i usercencics’ rozwiązania.

    Klikając “Zapisać się” Potwierdzam, że chcę zasubskrybować biuletyn UserCentrics. Zgadzam się, że moje dane mogą być wykorzystywane do wszelkich informacji związanych z produktami i usługami oferowanymi przez UserCentrics ™. Mogę to łatwo odwołać, klikając link do rezygnacji z subskrypcji w dowolnym e -mailu lub po prostu napisz do [chroniony e -mail] Zobacz politykę prywatności

    Produkty

    • Zarządzanie zgodą na stronę
    • Zarządzanie zgodą aplikacji
    • Witryny AMP (beta)
    • Smart Data Protector

    Przepisy prawne

    • RODO (UE)
    • CCPA (Kalifornia)
    • VCDPA (Virginia)
    • LGPD (Brazylia)
    • Popia (Republika Południowej Afryki)
    • TCF 2.0 (IAB)