personligt identificerbare oplysninger (PII) og personlige data er to klassifikationer af data, der ofte skaber forvirring for organisationer, der indsamler, gemmer og analyserer sådanne data.
PII bruges i USA, men ingen enkelt juridisk dokument definerer det. Retssystemet i USA er en blanding af adskillige føderale og statslige love og sektorspecifikke regler. De definerer og klassificerer alle forskellige stykker information under PII-paraplyen.,
på den anden side har personoplysninger en juridisk betydning, som er defineret i den generelle databeskyttelsesforordning (GDPR), accepteret som lov i hele Den Europæiske Union (EU).
begge udtryk dækker fælles grund, klassificere oplysninger, der kunne afsløre en persons identitet direkte eller indirekte.
men hvorfor er alt det så vigtigt? Som websiteebstedsadministrator, appskaber eller produktejer skal du være opmærksom på, at de spor, som besøgende og brugere efterlader, kan være af følsom karakter., Disse spor kan gøre det muligt for dig at identificere enkeltpersoner, så du er nødt til at håndtere sådanne data med den største forsigtighed. Fra et juridisk synspunkt kan det være et spørgsmål om overtrædelser og overtrædelser med alvorlige konsekvenser. At forstå det større billede er afgørende for din organisations sikkerhed og overholdelse af lovgivningen.
- hvad er personligt identificerbare oplysninger (PII)?
- hvilke oplysninger betragtes som PII?
- hvad er ikke-PII?
- hvad er personoplysninger?
- hvad er ikke-personlige data?,
- Hvordan personlige OPLYSNINGER, som adskiller sig fra personlige data
- Juridiske rammer
- Hvor reglerne om personlige OPLYSNINGER og personlige data anvendelse
- Opholder sig op til dato, love om databeskyttelse
Hvad er personligt identificerbare oplysninger (PII)?
PII refereres ofte af amerikanske regeringsorganer og ikke-statslige organisationer. Alligevel mangler USA en overordnet lov om PII, så din forståelse af PII kan variere afhængigt af din særlige situation.
den mest almindelige definition leveres af National Institute of Standards and Technology (NIST).,
Det siger, at:
personlige OPLYSNINGER er alle oplysninger om en person, der vedligeholdes af et agentur, herunder (1) alle oplysninger, der kan bruges til at skelne eller spore en persons identitet, herunder navn, cpr-nummer, dato og sted for fødsel, mors pigenavn, eller biometriske registreringer; og (2) alle andre oplysninger, som er knyttet til eller sammenknyttes til en person, såsom medicinske, uddannelsesmæssige, økonomiske og beskæftigelsesmæssige oplysninger.
linjen mellem PII og andre former for information er imidlertid sløret., Som understreget af US General Services Administration, er ” definitionen af PII ikke forankret til nogen enkelt kategori af information eller teknologi. Det kræver snarere en vurdering fra sag til sag af den specifikke risiko for, at en person kan identificeres”.
hvilke oplysninger betragtes som PII?
ifølge NIST kan PII opdeles i to kategorier: sammenkædet og sammenkædet information.
linkede oplysninger er mere direkte., Det kan omfatte alle personlige oplysninger, der kan bruges til at identificere en person, f.eks.:
- Fuldt navn
- adresse
- e-Mail-adresse
- cpr-nummer
- Pas
- kørekort nummer
- Kredit kort tal
- fødselsdato
- telefonnummer
- Ejede ejendomme, fx, køretøjets identifikationsnummer (VIN)
- Login-oplysninger
- Processor eller enhedens serienummer*
- Media access control (MAC)*
- Internet Protocol (IP) – adresse*
- enheds-id ‘ er*
- Cookies*
*bemærk!
NIST stater, der er knyttet information kan være “Aktiv information, såsom Internet Protocol (IP) eller Media Access Control (MAC) – adresse eller en anden vært-specifikke vedvarende statiske identifikator, der konsekvent links til en bestemt person eller lille, veldefineret gruppe af mennesker”., Det betyder, at cookies og enheds-ID falder ind under definitionen af PII.
Sammenkædelige oplysninger er indirekte og kan i sig selv ikke identificere en person, men når det kombineres med et andet stykke information, kan det identificere, spore eller lokalisere en person.
Her er nogle eksempler på linkbar oplysninger:
- Første eller sidste navn (hvis fælles)
- Land, stat, by, postnummer
- Køn
- Race
- Ikke-specifik alder (fx, 30-40 i stedet for 30)
- stillingen og arbejdspladsen
Lær at beskytte dine personlige OPLYSNINGER, ikke-personlige OPLYSNINGER og personlige data
Alt fra den nærmere definition af den enkelte til praktiske metoder til at indsamle og arbejde med forskellige typer af data
Hvad er ikke-personlige OPLYSNINGER?
ikke-personligt identificerbare oplysninger (ikke-PII) er data, der ikke kan bruges alene til at spore eller identificere en person.,Eksempler på ikke-personlige oplysninger inkluderer, men er ikke begrænset til:
- aggregerede statistikker over brugen af produkt / service
- delvist eller fuldt maskerede IP-adresser
klassificeringen af personlige oplysninger og ikke-personlige oplysninger er imidlertid vag. Derudover henviser NIST ikke til cookie-id ‘er og enheds-id’ er, så mange AdTech-virksomheder, annoncører og udgivere betragter dem som ikke-PII. Som vi ser, er dette i modsætning til definitionen af personlige data, der behandler sådanne digitale tackere som oplysninger, der kunne identificere en person.
Hvad er personoplysninger?,p>ved “personoplysninger” forstås enhver form for information om en identificeret eller identificerbar fysisk person (“den registrerede”); ved en identificerbar fysisk person er en, der kan identificeres direkte eller indirekte, især med henvisning til en identifikator, såsom et navn, et id-nummer, beliggenhed data, et online-id eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet, at fysisk person;
Denne definition gælder ikke kun for en persons for-og efternavn, men til oplysninger, der kan identificere den pågældende person., Det er tilfældet, når du for eksempel er i stand til at identificere en besøgende, der vender tilbage til dit websiteebsted ved hjælp af en cookie eller loginoplysninger.
Under GDPR du kan overveje cookies som personlige data, fordi ifølge
i Betragtning 30:
Fysiske personer, der kan være forbundet med online-id ‘ er, som leveres af deres enheder, applikationer, værktøjer og protokoller, såsom internet protocol-adresser, cookie-id, eller andre identifikatorer såsom radio-frequency identification tags., Dette kan efterlade spor, som, især når de kombineres med entydige identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler af de fysiske personer og identificere dem.
Og definitionen af personlige data dækker forskellige stykker af information, såsom:
- transaktion historie
- IP-adresser
- browser historie
- indlæg på sociale medier
Dybest set, det er nogen oplysninger om en person eller en identificerbar person, der direkte eller indirekte.
Hvad er ikke-personlige data?,
efter GDPR-bestemmelserne er ikke-personlige data data, der ikke giver dig mulighed for at identificere en person. Det bedste eksempel er anonyme data. Ifølge
i Betragtning 26:
De principper for beskyttelse af oplysninger bør derfor ikke gælde for anonyme oplysninger, herunder oplysninger, der ikke vedrører en identificeret eller identificerbar fysisk person eller til personlige oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres.,
andre eksempler på ikke-personlige data omfatter, men er ikke begrænset til:
- generelle data, e.i. aldersgruppe f. eks.,uch som census data eller skatte-indtægter for offentligt finansierede værker
- Aggregeret statistik om brugen af et produkt eller en service
- der er helt eller Delvist maskeret IP-adresser
for At få flere oplysninger om anonymisering, så læs vores andre blog-indlæg:
- Den ultimative guide til anonymisering af data i analytics
- Anonym tracking: hvordan til at gøre nyttige analytics uden personlige data
Hvordan personlige OPLYSNINGER, som adskiller sig fra personlige data
Som vi allerede har nævnt, i visse sammenhænge forskellene mellem disse to typer af data, der synes ret vage., Hvis vi skal trække en klar linje her, vil vi anvende de juridiske rammer, og hvem disse data gælder for.
juridiske rammer
alle regler og ansvar vedrørende personoplysninger er fastlagt af GDPR, der sigter mod at styrke og forene dataindsamling fra EU-borgere. Det betyder også, at der er en mere samlet tilgang til håndhævelse, som er steget støt siden maj 2018, da GDPR trådte i kraft.
det er meget sværere at definere et enkelt stykke lovgivning, der kontrollerer PII på grund af manglen på en enkelt føderal lov, der regulerer dens anvendelse. Men blandt de forskellige love, der styrer indsamling og brug af PII, er de mest fremtrædende:
- USA,l Trade Commission (FTC) og dens Department of Forbrugerbeskyttelse
- de Lokale Afdelinger af forbrugeranliggender
- Federal Communications Commission (FCC)
- National Institute of Standards and Technology (NIST)
- Network Advertising Initiative (NAI), en selvregulerende organisation
, Hvor reglerne om personlige OPLYSNINGER og personlige data anvend
Siden personlige data er nøje knyttet til GDPR, der vedrører alle beboere og borgere i medlemsstaterne i det Europæiske Økonomiske Samarbejdsområde – de 28 EU ‘ s Medlemsstater samt Island, Liechtenstein og Norge., Vi vil henvise til denne gruppe som EU-borgere, for kort.
alligevel er omfanget af GDPR ikke rigtig begrænset til EU. Det påvirker ikke kun EU-baserede enheder, men stort set alle virksomheder, der beskæftiger sig med data fra EU-borgere.
derimod er det meget vanskeligere at bestemme de jurisdiktioner, hvor PII er gældende.
selv i USA, hvor PII er helt sikkert gældende, hvordan det anvendes varierer både fra stat til stat og fra sektor til sektor. Flere juridiske dokumenter og industristandarder har deres egen mening om, hvad PII er.,
som et resultat er det ganske vanskeligt at bestemme, hvem PII gælder for, og hvordan.
Lær at beskytte dine personlige OPLYSNINGER, ikke-personlige OPLYSNINGER og personlige data
Alt fra den nærmere definition af den enkelte til praktiske metoder til at indsamle og arbejde med forskellige typer af data
Opholder sig op til dato, love om databeskyttelse
Den brede definitioner af personlige OPLYSNINGER og personlige data, der udvikler sig til at omfatte flere og flere typer af data., Forskellene mellem de to bliver også mindre tydelige. De juridiske krav bliver strengere på begge sider af Atlanterhavet.
disse ændringer vil medføre nye udfordringer. For organisationer af alle slags betyder det at se nærmere på de data, de indsamler, og holde trit med det skiftende juridiske landskab for at forblive kompatible.
Vi håber, at vores blogindlæg har besvaret i det mindste nogle af dine spørgsmål vedrørende PII og personlige data. Men hvis du vil lære mere, er du velkommen til at kontakte os når som helst. Vores eksperter vil med glæde udfylde dig!