dane osobowe (PII) i dane osobowe to dwie klasyfikacje danych, które często powodują zamieszanie w organizacjach, które zbierają, przechowują i analizują takie dane.
PII jest używany w USA, ale żaden pojedynczy dokument prawny go nie definiuje. System prawny w Stanach Zjednoczonych jest mieszanką licznych ustaw federalnych i stanowych oraz regulacji sektorowych. Wszystkie one definiują i klasyfikują różne informacje pod parasolem PII.,
z drugiej strony, dane osobowe mają jedno znaczenie prawne, które jest zdefiniowane przez ogólne rozporządzenie o ochronie danych (RODO), przyjęte jako prawo w całej Unii Europejskiej (UE).
oba terminy obejmują wspólną płaszczyznę, klasyfikując informacje, które mogą ujawnić tożsamość jednostki bezpośrednio lub pośrednio.
ale dlaczego to wszystko jest takie ważne? Jako administrator witryny, twórca aplikacji lub właściciel produktu musisz mieć świadomość, że ślady pozostawione przez odwiedzających i użytkowników mogą mieć delikatny charakter., Ślady te mogą umożliwić identyfikację osób, dlatego należy postępować z takimi danymi z najwyższą ostrożnością. Z prawnego punktu widzenia może to być kwestia naruszeń i naruszeń z poważnymi konsekwencjami. Zrozumienie szerszego obrazu ma kluczowe znaczenie dla bezpieczeństwa organizacji i zgodności z prawem.
- co to są dane osobowe (PII)?
- jakie informacje są uważane za PII?
- czym jest non-PII?
- czym są dane osobowe?
- czym są dane nieosobowe?,
- czym PII różni się od danych osobowych
- ramy prawne
- gdzie obowiązują zasady dotyczące PII i danych osobowych
- bycie na bieżąco z przepisami dotyczącymi prywatności danych
czym są dane osobowe (PII)?
PII jest często przywoływany przez amerykańskie agencje rządowe i organizacje pozarządowe. Jednak w Stanach Zjednoczonych brakuje jednego nadrzędnego prawa dotyczącego PII, więc twoje zrozumienie PII może się różnić w zależności od konkretnej sytuacji.
najpowszechniejszą definicję podaje National Institute of Standards and Technology (NIST).,
mówi on, że:
PII to wszelkie informacje o osobie przechowywane przez Agencję, w tym (1) Wszelkie informacje, które mogą być wykorzystane do odróżnienia lub prześledzenia tożsamości osoby, takie jak imię i nazwisko, numer ubezpieczenia społecznego, Data i miejsce urodzenia, nazwisko panieńskie matki lub zapisy biometryczne; oraz (2) wszelkie inne informacje, które są powiązane lub łączone z osobą, takie jak informacje medyczne, edukacyjne, finansowe i informacje o zatrudnieniu.
jednak linia między PII a innymi rodzajami informacji jest niewyraźna., Jak podkreśliła amerykańska administracja General Services, ” definicja III nie jest zakotwiczona w żadnej pojedynczej kategorii informacji lub technologii. Wymaga to raczej indywidualnej oceny szczególnego ryzyka, które można zidentyfikować”.
jakie informacje są uważane za PII?
zgodnie z NIST, PII można podzielić na dwie kategorie: informacje łączone i łączone.
informacje powiązane są bardziej bezpośrednie., Może zawierać wszelkie dane osobowe, które można wykorzystać do identyfikacji osoby, na przykład:
- pełne imię i nazwisko
- adres domowy
- adres e-mail
- numer ubezpieczenia społecznego
- numer paszportu
- numer karty kredytowej
- data urodzenia
- numer telefonu
- własność nieruchomości np., numer identyfikacyjny pojazdu (VIN)
- dane logowania
- numer seryjny procesora lub urządzenia*
- Kontrola dostępu do mediów (MAC)*
- adres protokołu internetowego (IP)*
- identyfikatory urządzeń*
- Pliki cookie*
*Uwaga!
NIST stwierdza, że powiązane informacje mogą być „informacjami o zasobach, takimi jak adres protokołu internetowego (IP) lub adresu kontroli dostępu do mediów (MAC) lub innym trwałym identyfikatorem statycznym specyficznym dla hosta, który konsekwentnie łączy się z konkretną osobą lub małą, dobrze zdefiniowaną grupą osób”., Oznacza to, że pliki cookie i identyfikator urządzenia podlegają definicji III.
informacje łączone są pośrednie i same w sobie mogą nie być w stanie zidentyfikować osoby, ale w połączeniu z inną informacją mogą zidentyfikować, wyśledzić lub zlokalizować osobę.
oto kilka przykładów linkowanych informacji:
- imię lub nazwisko (jeśli jest powszechne)
- Kraj, Stan, Miasto, Kod Pocztowy
- płeć
- Rasa
- nieswoisty wiek (np., 30-40 zamiast 30)
- stanowisko pracy i miejsce pracy
Dowiedz się, jak chronić PII, PII i dane osobowe
Wszystko od szczegółowej definicji każdego z nich do praktycznego podejścia do gromadzenia i pracy z różnymi typami danych
Co to jest PII?
informacje nieosobowe (non-PII) to dane, których nie można samodzielnie wykorzystać do śledzenia lub identyfikacji osoby.,Przykłady PII innych niż PII obejmują między innymi:
- zbiorcze statystyki dotyczące korzystania z produktu/usługi
- częściowo lub w pełni zamaskowane adresy IP
jednak klasyfikacja PII i PII innych niż PII jest niejasna. Co więcej, NIST nie odwołuje się do identyfikatorów plików cookie i identyfikatorów urządzeń, dlatego wiele firm AdTech, reklamodawców i wydawców uważa je za inne niż PII. Jak zobaczymy, jest to w przeciwieństwie do definicji danych osobowych, która traktuje takie cyfrowe DANE jako informacje, które mogą zidentyfikować osobę.
czym są dane osobowe?,p> „dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoba, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, która może zostać zidentyfikowana, bezpośrednio lub pośrednio, w szczególności poprzez odniesienie do identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden lub więcej czynników specyficznych dla fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby;
definicja ta dotyczy nie tylko imienia i nazwiska danej osoby, ale również osób., Dzieje się tak, gdy na przykład możesz zidentyfikować odwiedzającego powracającego do twojej witryny za pomocą pliku cookie lub danych logowania.
zgodnie z RODO pliki cookie mogą być traktowane jako dane osobowe, ponieważ zgodnie z
motyw 30:
osoby fizyczne mogą być powiązane z identyfikatorami online dostarczanymi przez ich urządzenia, Aplikacje, Narzędzia i protokoły, takimi jak adresy protokołów internetowych, identyfikatory plików cookie lub inne identyfikatory, takie jak znaczniki identyfikacji radiowej., Może to pozostawić ślady, które, w szczególności w połączeniu z unikalnymi identyfikatorami i innymi informacjami otrzymanymi przez serwery, mogą być wykorzystane do tworzenia profili osób fizycznych i ich identyfikacji.
a definicja danych osobowych obejmuje różne informacje, takie jak:
- Historia transakcji
- adresy IP
- historia przeglądarki
- posty w mediach społecznościowych
zasadniczo są to wszelkie informacje dotyczące osoby fizycznej lub możliwej do zidentyfikowania osoby, bezpośrednio lub pośrednio.
czym są dane nieosobowe?,
zgodnie z przepisami RODO dane nieosobowe to dane, które nie pozwalają na identyfikację osoby. Najlepszym przykładem są anonimowe dane. Zgodnie z
motyw 26:
Zasady ochrony danych nie powinny zatem mieć zastosowania do informacji anonimowych, tj. informacji, które nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej lub do danych osobowych zanonimizowanych w sposób uniemożliwiający lub uniemożliwiający identyfikację osoby, której dane dotyczą.,
inne przykłady danych nieosobowych obejmują między innymi:
- dane uogólnione, np. Przedział wiekowy, np.,
- zbiorcze statystyki dotyczące korzystania z produktu lub usługi
- częściowo lub w pełni zamaskowane adresy IP
aby dowiedzieć się więcej o anonimizacji danych, przeczytaj nasze inne posty na blogu:
- najlepszy przewodnik anonimizacji danych w analityce
- anonimowe śledzenie: jak robić przydatne analizy bez danych osobowych
czym PII różni się od danych osobowych
jak już wspomnieliśmy, w pewnych kontekstach różnice między tymi dwoma typami danych wydają się dość niejasne., Jeśli będziemy musieli wyznaczyć wyraźną granicę, wtedy zastosujemy ramy prawne i do kogo te dane mają zastosowanie.
ramy prawne
wszystkie zasady i obowiązki dotyczące danych osobowych są określone w RODO, które ma na celu wzmocnienie i ujednolicenie gromadzenia danych od mieszkańców UE. Oznacza to również, że istnieje bardziej ujednolicone podejście do egzekwowania przepisów, które stale rośnie od maja 2018 r., kiedy weszło w życie RODO.
znacznie trudniej jest zdefiniować pojedynczy akt prawny, który kontroluje III ze względu na brak jednolitego prawa federalnego regulującego jego stosowanie. Jednak wśród różnych ustaw, które regulują gromadzenie i korzystanie z III, najbardziej znane są:
- the U. S.,l Trade Commission (FTC) i jej Departament Ochrony Konsumentów
- lokalne departamenty Spraw Konsumenckich
- Federalna Komisja Łączności (FCC)
- Narodowy Instytut Standardów i technologii (NIST)
- inicjatywa reklamy sieci (Nai), organizacja samoregulująca
w której obowiązują przepisy dotyczące PII i danych osobowych
ponieważ dane osobowe są ściśle związane z RODO, dotyczy to wszystkich mieszkańców i obywateli Unii Europejskiej.państwa członkowskie Europejskiego Obszaru Gospodarczego-28 państw członkowskich UE oraz Islandia, Liechtenstein I Norwegia., W skrócie określimy tę grupę jako mieszkańców UE.
jednak zakres RODO nie jest tak naprawdę ograniczony do UE. Dotyczy to nie tylko podmiotów z siedzibą w UE, ale praktycznie każdej firmy zajmującej się danymi mieszkańców UE.
natomiast o wiele trudniej jest określić jurysdykcje, w których ma zastosowanie III.
nawet w Stanach Zjednoczonych, gdzie PII z pewnością ma zastosowanie, sposób jego stosowania różni się zarówno w zależności od stanu, jak i od sektora. Kilka dokumentów prawnych i standardów branżowych ma własną opinię na temat tego, czym jest PII.,
w związku z tym ustalenie, do kogo i w jaki sposób ma zastosowanie PII, jest dość trudne.
Dowiedz się, jak chronić dane PII, inne niż PII i dane osobowe
Wszystko od szczegółowej definicji każdego z nich do praktycznego podejścia do gromadzenia i pracy z różnymi typami danych
aktualne przepisy o ochronie danych
szerokie definicje IIP i danych osobowych ewoluują, aby objąć coraz więcej rodzajów danych., Różnice między nimi również stają się mniej wyraźne. Wymogi prawne są coraz bardziej rygorystyczne po obu stronach Atlantyku.
te zmiany przyniosą nowe wyzwania. Dla wszelkiego rodzaju organizacji oznacza to bliższe przyjrzenie się gromadzonym danym i nadążanie za zmieniającym się krajobrazem prawnym, aby zachować zgodność.
mamy nadzieję, że nasz wpis na blogu odpowiedział na przynajmniej niektóre z twoich pytań dotyczących PII i danych osobowych. Ale jeśli chcesz dowiedzieć się więcej, skontaktuj się z nami w każdej chwili. Nasi eksperci chętnie Cię wprowadzą!