Osobně identifikovatelné informace (PII) a osobní údaje jsou dvě klasifikace dat, které často způsobují zmatek pro organizace, které shromažďovat, ukládat a analyzovat tyto údaje.
PII se používá v USA, ale žádný právní dokument jej neurčuje. Právní systém ve Spojených státech je kombinací mnoha federálních a státních zákonů a sektorových předpisů. Všichni definují a klasifikují různé informace pod deštníkem PII.,
Na druhou stranu, osobní údaje, má právní význam, který je definován v Obecné nařízení o Ochraně Údajů (obecného nařízení o ochraně údajů), přijat jako zákon v celé Evropské Unii (EU).
oba pojmy pokrývají společný základ a klasifikují informace, které by mohly odhalit identitu jednotlivce přímo nebo nepřímo.
ale proč je to všechno tak důležité? Jako správce webových stránek, tvůrce aplikací nebo vlastník produktu si musíte být vědomi toho, že stopy, které návštěvníci a uživatelé zanechávají, mohou mít citlivou povahu., Tyto stopy vám mohou umožnit identifikovat jednotlivce, takže je třeba s těmito údaji zacházet s maximální opatrností. Z právního hlediska by mohlo jít o porušení a porušení s vážnými důsledky. Uchopení většího obrázku je zásadní pro bezpečnost a právní soulad vaší organizace.
- co jsou osobní identifikační údaje (PII)?
- jaké informace jsou považovány za PII?
- co je non-PII?
- co jsou osobní údaje?
- co jsou neosobní údaje?,
- Jak PII liší od osobních údajů
- Právní rámec
- Kde pravidla na PII a osobních údajů aplikovat
- Zůstat až do dnešního dne o ochraně osobních údajů nařízení
Co je osobně identifikovatelné informace (PII)?
PII je často odkazováno vládními agenturami USA a nevládními organizacemi. Přesto USA postrádají jeden převažující zákon o PII, takže vaše chápání PII se může lišit v závislosti na vaší konkrétní situaci.
nejběžnější definici poskytuje Národní institut norem a technologií (NIST).,
To říká, že:
PII je žádné informace o individuální vedeném agenturou, včetně (1) veškeré informace, které mohou být použity k odlišení nebo stopových individuální identity, jako je jméno, číslo sociálního zabezpečení, datum a místo narození, dívčí jméno matky, nebo biometrických záznamů; a (2) jakékoli další informace, které souvisí nebo korelovat jednotlivce, jako jsou zdravotnické, vzdělávací, finanční, a informace zaměstnání.
linka mezi PII a jinými druhy informací je však rozmazaná., Jak zdůraznila americká správa obecných služeb, “ definice PII není zakotvena v žádné jediné kategorii informací nebo technologií. Spíše vyžaduje případ od případu posouzení specifického rizika, které může být jednotlivec identifikován“.
jaké informace jsou považovány za PII?
podle NIST lze PII rozdělit do dvou kategorií: propojené a propojitelné informace.
propojené informace jsou přímější., To by mohlo zahrnovat žádné osobní detaily, které mohou být použity k identifikaci jednotlivce, například:
- celé jméno
- Domácí adresy
- E-mailovou adresu
- čísla Sociálního zabezpečení
- číslo Pasu
- řidičský průkaz číslo,
- Kreditní karty
- Datum narození
- Telefon
- vlastní vlastnosti např., identifikační číslo vozidla (VIN)
- Přihlašovací údaje
- Procesor nebo sériové číslo zařízení*
- řízení přístupu k médiu (MAC)*
- Internet Protocol (IP) adresy*
- Id Zařízení*
- Cookies*
*poznámka!
NIST uvádí, že spojené informace může být „Asset informace, jako je IP (Internet Protocol) nebo MAC (Media Access Control) adresu nebo jiné hostitele specifické přetrvávající statické identifikátor, který důsledně odkazy na konkrétní osoby nebo malé, dobře definované skupině lidí“., To znamená, že soubory cookie a ID zařízení spadají pod definici PII.
Korelovat informace jsou nepřímé, a na jeho vlastní, nemusí být schopen identifikovat osobu, ale v kombinaci s další kus informací, které by mohly identifikovat, sledovat, nebo vyhledejte osobu.
Zde jsou některé příklady korelace informací:
- křestní jméno nebo příjmení (pokud je společné)
- Země, stát, město, psč
- Pohlaví
- Závodní
- Non-konkrétní věk (např., 30-40 místo 30)
- Pracovní pozici a pracoviště
Učit se, jak chránit PII, non-PII a osobních údajů
Vše, od podrobné definice jednotlivých praktických přístupů ke sběru a práci s různými typy dat,
Co je non-PII?
neosobní identifikační údaje (non-PII) jsou údaje, které nelze použít samostatně ke sledování nebo identifikaci osoby.,Příklady non-PII zahrnují, ale nejsou omezeny na:
- Souhrnné statistiky o využití produktu / služby
- Částečně nebo plně maskovaný IP adresy
Nicméně, klasifikace PII a non-PII je vágní. Navíc, NIST nemá reference cookie, Id a Id zařízení, takže mnoho AdTech společnosti, inzerenti a vydavatelé považují za non-PII. Jak uvidíme, je to v rozporu s definicí osobních údajů, které považují takové digitální sledovače za informace, které by mohly identifikovat jednotlivce.
co jsou to osobní údaje?,p> „osobními údaji“ rozumějí veškeré informace o identifikované nebo identifikovatelné fyzické osobě („subjektu údajů“); identifikovatelnou fyzickou osobu, která může být identifikována, přímo či nepřímo, zejména s odkazem na identifikátor, například jméno, identifikační číslo, lokalizační údaje, on-line identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo sociální identitu fyzické osoby;
Tato definice vztahuje nejen na osoby jméno a příjmení, ale na detaily, které by mohly identifikovat osobu., To je případ, kdy jste například schopni identifikovat návštěvníka vracejícího se na váš web pomocí cookie nebo přihlašovacích údajů.
Podle obecného nařízení o ochraně údajů, můžete zvážit cookies jako osobních údajů, protože podle
bod Odůvodnění 30:
Fyzické osoby může být spojena s on-line identifikátory, které používají jeho zařízení, aplikace, nástroje a protokoly, jako jsou adresy internetového protokolu, identifikátory cookies nebo jiných identifikátorů, jako jsou rádiová identifikační značky., To může zanechat stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi získanými servery použity k vytvoření profilů fyzických osob a jejich identifikaci.
A definice osobních údajů zahrnuje různé kousky informací, jako jsou:
- transakční historie
- IP adres
- historie prohlížeče
- příspěvky na sociální média
v Podstatě, to je všechny informace týkající se jednotlivce nebo identifikovatelné osoby, přímo nebo nepřímo.
co jsou neosobní údaje?,
podle ustanovení GDPR jsou neosobními údaji údaje údaje, které vám neumožní identifikovat jednotlivce. Nejlepším příkladem jsou anonymní data. Podle
bod Odůvodnění 26
zásady ochrany údajů by se proto neměly vztahovat na anonymní informace, tj. informace, které se netýkají identifikované či identifikovatelné fyzické osoby nebo osobní údaje, které byly anonymizovány tak, že subjekt údajů není nebo již není identifikovatelná.,
Další příklady neosobních údajů zahrnují, ale nejsou omezeny na:
- zobecněná data, např. věkové rozmezí např.,uch, jak údaje ze sčítání lidu nebo daňové příjmy získané za veřejně financovaný funguje
- Souhrnné statistiky o používání výrobku nebo služby
- Částečně nebo plně maskovaný IP adresy
dozvědět Se více o datové anonymizace, přečtěte si naše další příspěvky na blogu:
- The ultimate guide anonymizace dat v analytics
- Anonymní sledování: jak to udělat užitečné analytics bez osobních údajů
Jak PII liší od osobních údajů
Jak jsme již zmínili, v některých kontextech rozdíly mezi těmito dvěma typy dat se zdá, poměrně vágní., Pokud zde potřebujeme nakreslit jasnou čáru, pak bychom použili právní rámec a na koho se tyto údaje vztahují.
právní rámec
všechna pravidla a povinnosti týkající se osobních údajů stanoví GDPR, jehož cílem je posílit a sjednotit shromažďování údajů od obyvatel EU. To také znamená, že existuje jednotnější přístup k vymáhání, který se neustále zvyšuje od května 2018, kdy GDPR vstoupilo v platnost.
je To mnohem těžší definovat jediný právní předpis, který řídí PII kvůli nedostatku jediný federální zákon upravující jeho užívání. Nicméně, mezi různými zákony, které upravují sběr a použití PII, nejvýznamnější jsou:
- USA.,l Obchodní Komise (FTC) a jeho Oddělení Ochrany Spotřebitele
- Místní Oddělení pro Záležitosti Spotřebitelů
- Federal Communications Commission (FCC)
- Národní Institut pro Standardy a Technologie (NIST)
- Network Advertising Initiative (NAI), self-regulační organizace
, Kde pravidla na PII a osobních údajů se vztahují
Vzhledem k tomu, osobní údaje jsou přísně spojeny se obecného nařízení o ochraně údajů, týká se všech obyvatel a občanů členských států Evropského Hospodářského Prostoru – 28 Členských Států EU plus Island, Lichtenštejnsko a Norsko., Budeme o této skupině stručně hovořit jako o obyvatelích EU.
rozsah GDPR však ve skutečnosti není omezen na EU. Ovlivňuje nejen subjekty se sídlem v EU, ale prakticky všechny podniky zabývající se údaji obyvatel EU.
naproti tomu je mnohem obtížnější určit jurisdikce, kde je PII použitelná.
Dokonce i v USA, kde PII je rozhodně použitelný, jak je aplikován jak se liší stát od státu a ze sektoru do sektoru. Několik právních dokumentů a průmyslových standardů má svůj vlastní názor na to, co je PII.,
v důsledku toho je určení, na koho se PII vztahuje a jak je poměrně obtížné.
Naučte se, jak chránit údaje umožňující zjištění totožnosti, non-PII a osobních údajů
Vše, od podrobné definice jednotlivých praktických přístupů ke sběru a práci s různými typy dat,
Zůstat až do dnešního dne o ochraně osobních údajů nařízení
široká definice osobních údajů a osobních údajů se vyvíjejí na pokrytí více a více druhů údajů., Rozdíly mezi nimi jsou také stále méně odlišné. Právní požadavky jsou stále přísnější na obou stranách Atlantiku.
tyto změny přinesou nové výzvy. Pro organizace všeho druhu to znamená bližší pohled na data, která shromažďují, a držet krok s měnícím se právním prostředím, aby zůstaly v souladu.
doufáme, že náš blogový příspěvek odpověděl alespoň na některé z vašich otázek týkajících se PII a osobních údajů. Ale pokud se chcete dozvědět více, neváhejte nás kdykoli kontaktovat. Naši odborníci vás rádi doplní!