1. Считается ли гендер PII?
Пол явно не упоминается как конфиденциальные личные данные в рамках GDPR. Тем не менее, важно отметить, что любая личная информация, которая может использоваться для идентификации человека, включая пол, все еще может быть подлежит правилам защиты данных и соображениям.
2. Что считается конфиденциальными личными данными?
Конфиденциальные личные данные включают личные данные, выявляющие расовое или этническое происхождение, политические мнения, религиозные или философские убеждения, членство в торговле, генетические данные, биометрические данные, обработанные исключительно для выявления человека, связанных с здоровьем и данными, касающимися сексуальной жизни человека или сексуальной ориентации.
3. Как определяется PII?
PII, или личная идентифицируемая информация, это данные, которые можно использовать для идентификации человека. Это может включать такую ​​информацию, как имя, адрес, электронная почта, номер социального страхования или любой другой элемент данных, который может напрямую идентифицировать конкретного человека.
4. В чем разница между связанными и неосведомленными данными?
Связанные данные относятся к уникальным элементам данных, которые могут напрямую идентифицировать конкретного человека, например, имя или номер социального страхования. Необработанные данные, с другой стороны, относится к обобщенным данным, которые описывают личность человека, такие как пол, возраст или доход, которые не могут быть использованы для непосредственного идентификации конкретного человека.
5. Почему управление и обеспечение PII важно для бизнеса?
Управление и защиту PII имеет решающее значение для предприятий, чтобы защитить конфиденциальность и безопасность личной информации своих пользователей. Неспособность сделать это может привести к значительному вреду, смущению, неудобствам или несправедливости для людей. Кроме того, соблюдение правил защиты данных, таких как GDPR, имеет важное значение, чтобы избежать юридических последствий и поддерживать доверие клиентов.
6. Как Министерство энергетики США определяет PII высокого риска?
Министерство энергетики США определяет PII высокого риска как информацию, которая, если они потеряны, скомпрометированы или раскрываются без разрешения, может привести к существенному вреду, смущению, неудобствам или несправедливости по отношению к человеку. Это включает в себя такие данные, как номера социального страхования, медицинская и медицинская информация, биометрические записи, финансовая информация и информация, используемая для разрешений безопасности.
7. Какие другие термины используются для обозначения PII?
PII можно назвать личной информацией, личными данными или конфиденциальной информацией, в зависимости от конкретных правил и законов.
8. Какие данные должны быть защищены?
Любая личная информация, которая может использоваться для идентификации человека, такого как имя, адрес, номер социального страхования или электронную почту, должна быть защищена для обеспечения конфиденциальности и безопасности данных.
9. Как предприятия могут защитить PII?
Предприятия могут защитить PII, внедрив сильные меры безопасности данных, такие как шифрование, контроль доступа и регулярные аудиты безопасности. Реализация политик конфиденциальности, получение согласия пользователя и предоставление четкой информации о том, как собираются и используются личные данные, также являются важными шагами в защите PII.
10. Как может помочь в управлении PII помочь в управлении PII помочь в управлении PII?
Собечковое хранилище данных Skyflow – это решение, которое помогает компаниям безопасно управлять и защищать PII. Он обеспечивает безопасную среду для хранения и управления конфиденциальными данными, с такими функциями, как шифрование, токенизация и строгие элементы управления доступа для обеспечения конфиденциальности и безопасности данных.
11. Каковы конкретные условия обработки для конфиденциальных личных данных?
Конкретные условия обработки для конфиденциальных личных данных могут варьироваться в зависимости от применимых законов о защите данных и правилах. Однако, в целом, обработка конфиденциальных личных данных требует более высокого уровня защиты и может потребовать явного согласия отдельных лиц или удовлетворения дополнительных требований для обеспечения законной и безопасной обработки.
12. Как GDPR определяет конфиденциальные личные данные?
GDPR явно не определяет конфиденциальные личные данные. Вместо этого это относится к конфиденциальным личным данным как «специальные категории личных данных.«К ним относятся данные, раскрывающие расовое или этническое происхождение, политические мнения, религиозные или философские убеждения, членство в союзе, генетические данные, биометрические данные, обработанные исключительно для выявления человека, связанных с здоровьем данных и данных, касающимися сексуальной жизни человека или сексуальной ориентации.
13. Каковы ключевые соображения для обработки конфиденциальных личных данных?
При обработке конфиденциальных личных данных предприятия должны убедиться, что соответствующие меры безопасности для защиты данных от несанкционированного доступа или раскрытия информации. Они также должны соблюдать применимые требования к законным требованиям, такие как получение конкретного согласия на обработку конфиденциальных данных и предоставление людям с четкой и прозрачной информацией о том, как используются их данные.
14. Как предприятия могут обеспечить соблюдение соглашений о защите данных?
Чтобы обеспечить соблюдение соглашений о защите данных, предприятия должны пересмотреть и понимать применимые законы и правила, устанавливать тщательные политики и процедуры защиты данных, обучать сотрудников на передовые практики защиты данных, регулярно оценивать и обновлять меры безопасности данных и обратиться за юрисконсультом, если это необходимо.
15. Каковы потенциальные последствия нарушения соглашений о информационной безопасности?
Нарушение соглашений о информационной безопасности может привести к различным последствиям, включая юридические обязательства, финансовые штрафы, ущерб репутации и доверию клиентов, а также потерю возможностей для бизнеса. Для предприятий крайне важно серьезно относиться к информационной безопасности и расставить приоритеты в защите личных данных.

Что такое PII

Поскольку GDPR встряхивает все в тот момент, когда я работаю над несколькими изменениями в нашем веб -сайте/процессе. Я работаю в области электронной коммерции в UX (базирующемся в Великобритании) и поддерживаю маркетинговые команды с определенными мероприятиями. Мой вопрос: считает ли пол отдельного лица как PII? Мы храним пол в слое данных в качестве переменной JavaScript, которая проводится в нашем собственном бизнесе, мы можем затем перенести эти переменные на платформу тестирования для нацеливания на лиц на основе наличия этих переменных. Поскольку я не является юридическим человеком/типом данных, я не на 100% уверен, что мы храняем нас и имею средства для передачи пола человека (извлеченного из информации, которую мы получаем, когда они создают с нами учетную запись), мы нарушаем какие -либо соглашения о информационной безопасности? Если это связано с политикой компании и т. Д. Тогда просто дайте мне знать, и я закрою вопрос, так как это не совсем для.

Какие личные данные считаются чувствительными?

Следующие персональные данные рассматриваются ‘чувствительный’ и подлежит конкретным условиям обработки:

• личные данные, раскрывающие расовое или этническое происхождение, политические мнения, религиозные или философские убеждения;
• членство в торговле;
• Генетические данные, биометрические данные, обработанные исключительно для идентификации человека;
• Связанные со здоровьем данные;
• данные, касающиеся человека’Секс -жизнь или сексуальная ориентация.

Рекомендации

• Статья 4 (13), (14) и (15) Андарта 9 и концерты (51) к (56) GDPR

Поделиться этой страницей

Этот сайт управляется Генеральным директоратом для общения

• Стратегия
• О Европейской комиссии
• Бизнес, экономика, евро
• Живи, работа, путешествовать в ЕС
• Закон
• Финансирование, тендеры
• Исследования и инновации
• Энергия, изменение климата, окружающая среда
• Образование
• Помощь, сотрудничество в области развития, фундаментальные права
• Еда, сельское хозяйство, рыболовство
• Региональное и городское развитие ЕС
• Работа в Европейской комиссии
• Статистика
• Новости
• События
• Публикации

• Свяжитесь с Европейской комиссией
• Доступность
• Следуйте Европейской комиссии по социальным сетям
• Ресурсы для партнеров

• Языки на наших сайтах
• Печенье
• Политика конфиденциальности
• Юридическое уведомление

Что такое PII?

Что такое PII? Определения варьируются, но в широком смысле лично идентифицируемая информация или PII – это данные, которые можно использовать для идентификации человека. Для пользователя вашего продукта их PII – это данные, которые они вводят, чтобы идентифицировать себя при создании учетной записи, например, адрес электронной почты или номер телефона.

Данные PII состоит из “Связанный” и “необратимый” данные. Обобщенные данные, которые описывают человека’Личность, такая как пол, возраст, дата рождения, геолокация, доход или что -либо еще, что не может быть использовано для непосредственного идентификации конкретного человека, называется «Некоммерческие данные.«Уникальные элементы данных, такие как имя, адрес, электронная почта, номер социального страхования или другая информация, которую можно использовать для непосредственной идентификации конкретного человека, называются« Связанные данные.”

Концепция PII существует уже некоторое время, но в последнее время она стала более важной, чем когда -либо, для бизнеса управлять и защищать PII, с которыми они справляются.

В этом посте мы’Посмотрите на различные типы PII, какие типы информации можно считать PII, почему защита конфиденциальности и безопасности PII сейчас важнее, чем когда -либо прежде, и как хранилище конфиденциальности данных Skyflow может помочь.

Не все PII созданы равными

Различные власти определяют PII по -разному, поэтому хорошее место для начала – рассмотреть Что кто -то может сделать с частью информации. Например, пока рассматривается дата рождения “необратимый” данные, его можно использовать в сочетании с “Связанный” Данные об обходе методов аутентификации и получения доступа к жизненно важным онлайн -ресурсам, таким как банковские счета и медицинские записи.

К этому моменту Министерство энергетики США определяет “Высокий риск” PII как информация, которая “Если потеряно, скомпрометировано или раскрывается без разрешения, может привести к существенному вреду, смущению, неудобству или несправедливости к индивидуумам.” Это включает в себя такие данные, как номера социального страхования, медицинская и медицинская информация, биометрические записи (например, отпечатки пальцев и ДНК), финансовая информация (например, номера кредитных карт, кредитные отчеты и номера банковских счетов) и информация, используемая для разрешений безопасности. Другими словами, PII высокого риска – это какие -либо данные, которые представляют гораздо больший риск, чем другие данные для человека, если он попадает в руки злонамеренного актера.

Более того, правила и законы часто относятся к PII многими другими терминами, такими как “персональная информация,” “личные данные,” или “конфиденциальная информация.” В конечном счете, однако, все они приближают одно и то же: данные о человеке, которые из -за его потенциала причинения вреда должны быть особенно защищены.

Поскольку компании работают над защитой PII, эти вопросы остаются: какие данные необходимо защитить? И что квалифицируется как PII?

PII становится приоритетом для регуляторов

Поскольку предприятия начали собирать больше данных посредством распространения облачных приложений и услуг, правительства ввели новые правила данных, чтобы гарантировать, что компании принимают меры для защиты этих данных. ЕС’S GDPR и Калифорния’S CPRA создала правила, касающиеся того, как PII собирается, хранится и совершает. Эти правила расширили определение PII и требуют, чтобы компании переосмысливали, как они собирают, хранят и обрабатывают PII.

Во многих случаях компаниям приходилось делать значительные инвестиции, создавать совершенно новые процессы и принять новые технологии, чтобы лучше понять, какой PII они собирают и как она проходит через свою организацию. Зачастую это означает, что можно найти их хранилища данных или озеров данных, чтобы получить более мелкозернистый контроль над тем, как они получают доступ и используют PII. Для многих компаний это привело к лоскутному кругу решений для конфиденциальности данных, которые создают больше накладных расходов, не предлагая большую дополнительную защиту для PII.

Различные правила определяют PII по -разному

Различные законы и правила конфиденциальности определяют PII по -разному и имеют разные требования к тому, как PII хранится, манипулируется, распределяется и проверяется. Существуют также правила, связанные с правами человека, запросить подробную информацию о том, какие данные собираются, как они используются и его удаление.

Однако, поскольку технология и облачная инфраструктура расширили горизонты бизнеса, чтобы конкурировать на мировом рынке, компании обычно решают придерживаться самых строгих политик, чтобы встретиться все политики.

PII под CPRA

Хотя Соединенные Штаты еще не приняли всеобъемлющий закон о конфиденциальности, аналогичный ЕС’S GDPR, отдельные штаты приняли свои собственные законы и требования. Калифорния’S Законы о конфиденциальности являются одними из самых строгих в стране. И благодаря государству’S размер, экономика и влияние как эпицентр технологических инноваций, компании в других частях США, как правило, соответствуют своей практике конфиденциальности данных с практикой в ​​Калифорнии.

Новый Закон о правах на конфиденциальность в Калифорнии (CPRA), который вносит изменения в 2018 год’S в Калифорнии Закон о конфиденциальности потребителей (CCPA) – определяет новый уровень данных, известный как “Конфиденциальная личная информация” (SPI). Конфиденциальная личная информация включает в себя идентификатор входа и пароль, точную геолокацию, расу и этническую принадлежность, сексуальную ориентацию и генетические данные. CPRA также расширяет защиту жителей Калифорнии’ Личная информация за пределами потребителя (“бизнес для потребителя” или “B2C”) данные, которые’S в рамках CCPA. С помощью CPRA данные бизнеса к бизнесу (B2B), данные HR и личная информация, содержащаяся в других контекстах.

PII под GDPR

Общее регулирование защиты данных (GDPR) – это ЕС’S набор требований к конфиденциальности, регулирующие обе компании, занимающиеся бизнесом в ЕС или с жителями ЕС. Подобно CPRA, из -за экономической важности рынков ЕС и строгости GDPR он стал стандартом конфиденциальности данных для компаний по всему миру.

GDPR расширяет определение PII (или “личные данные” Как упоминается в самом законодательстве), чтобы включить финансовую информацию, учетные данные, биометрические данные, фотографии, которые явно представляют индивидуальные, географические данные, раса, пол, политические мнения, религиозные или философские убеждения, идентификаторы cookie и IP -адреса. Это делает GDPR’S Определение гораздо более обширно, чем основное определение личных данных, которое включает в себя такие основы, как имя и фамилия и домашний адрес.

Более конкретно, статья 4 GDPR определяет личные данные как: “любая информация, касающаяся идентифицированного или идентифицируемого естественного человека (“Данные субъект”); Идентифицируемый естественный человек – это тот, кого можно прямо или косвенно идентифицировать, в частности, ссылка на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн -идентификатор или один или несколько факторов, характерных для физического, физиологического, генетического, умственного, экономического, культурного или социальной идентичности этого естественного человека.”

Здесь’S Иллюстрация некоторых типов данных, которые качество, как личные данные в соответствии с:

PII согласно NIST

Национальный институт науки и техники (NIST) составил руководство по защите конфиденциальности PII, которое служит де-факто для научных и технических организаций, которые работают с правительством США.

NIST включает в себя следующее как PII:

• Имя, такое как полное имя, девичья фамилия, девичья фамилия матери или псевдоним
• Личный идентификационный номер, такой как номер социального страхования (SSN), номер паспорта, номер водительских прав, идентификационный номер налогоплательщика или финансовый счет или номер кредитной карты
• Адресная информация, такая как уличный адрес или адрес электронной почты
• Личные характеристики, включая фотографическое изображение (особенно лица или другую идентификационную характеристику), отпечатки пальцев, почерк или другие биометрические данные (E.г., Сканирование сетчатки, голосовая подпись, геометрия лица)
• Информация о человеке, которое связано или связано с одним из вышеперечисленных (e.г., Дата рождения, место рождения, раса, религия, вес, деятельность, географические показатели, информация о занятости, медицинская информация, информация об образовании, финансовая информация)

Ну и что Действительно Считается PII?

Как вы можете видеть из прочтения этого резюме о том, как PII (или “персональная информация”) определяется различными законами и организациями, существует много различий между этими определениями.

А это означает, что самый безопасный подход для организаций, которые хотят защитить эти жизненно важные данные, – это использование широкого определения PII, чтобы они могли облегчить соответствие текущим правилам и позиционировать себя, чтобы легко соблюдать будущие правила.

Возраст конфиденциальности данных

Поскольку PII является фундаментальной частью того, как клиенты используют ваши продукты, вам нужен эффективный способ использования PII без риска данных клиентов. Вам нужен новый подход, который переосмысливает, как хранятся и используются данные PII во всей вашей организации. И вы должны быть в состоянии защитить своих клиентов’ Наиболее конфиденциальные данные без утилиты данных. Это добавляет к новой парадигме: возраст конфиденциальности данных.

В Skyflow мы’VE разработал хранилище конфиденциальности данных с нулевым доверием, которое использует технологию, сохраняющую конфиденциальность, для защиты данных PII, позволяя вам использовать эти данные для стимулирования роста бизнеса. С Skyflow вы можете хранить свои конфиденциальные данные в изолированном централизованном хранилище данных и уменьшить количество PII, которые вы храните в других приложениях и системах. Этот подход уменьшает общее воздействие PII в ваших системах и изолирует его в центральный магазин, который вы можете управлять политикой контроля доступа.

Skyflow был разработан, чтобы помочь компаниям не отставать от постоянно развивающейся лоскутной одежды законов и положений о конфиденциальности. Скай -потоки данных о конфиденциальности не только помогает вам изолировать, защищать и управлять PII, но и облегчает соответствие законам и правилам конфиденциальности данных, включая такие требования, как жительство данных.

В этой новой эпохе конфиденциальности данных, использование архитектурных решений для реализации обещания конфиденциальности по дизайну становится все более и более критичным. С учетом конфиденциальности, таких как токенизация, шифрование, маскировка и редакция, Skyflow позволяет вашему бизнесу удовлетворить требования к соблюдению и уменьшать объем и влияние потенциальных нарушений данных.

Чтобы узнать больше о хранилище конфиденциальности данных SkyFlow, прочитайте наш блог о хранилищах конфиденциальности данных.

Готов увидеть это самостоятельно?

Свяжитесь с нашей командой, чтобы увидеть, как Skyflow может помочь вам защитить конфиденциальность и безопасность конфиденциальных данных (включая PII), при этом смягчая соблюдение законов о конфиденциальности данных.

О личной информации (PII)

Личная идентифицируемая информация (PII) – это любые данные, которые можно использовать для различения или отслеживания личности человека, либо в одиночку, либо в сочетании с другой информацией. Примеры включают имя, домашний адрес, адрес электронной почты, номер социального страхования, номер водительских прав, номер банковского счета, номер паспорта, дату рождения, биометрические данные, такие как отпечатки пальцев или информация, которая связана или связана с отдельным лицом, таким как медицинское, образование, финансовая и информация о трудоустройстве.

Такая информация, как пол, раса, религия и семейное положение, как правило, не считаются только PII. Однако эта информация все еще должна рассматриваться как чувствительная, поскольку она может идентифицировать человека в сочетании с другими данными.

Специальным подмножества PII является защищенная медицинская информация (PHI). Для получения дополнительной информации см. За защищенную медицинскую информацию (PHI).

Защитите PII

В чужих руках раскрытие личной информации (PII) может подвергнуть людей риску и привести к выявлению кражи и других форм мошенничества. Если вы управляете PII в рамках своей роли в университете, важно защитить данные и гарантировать, что соответствующие контракты и соглашения о данных будут заключены до того, как выпустить этот тип информации третьим сторонам. Для получения дополнительной информации см. Соглашение о конфиденциальности и безопасности данных или соглашения об обмене данными.

Принципы доступа к данным для обмена и доступа к PII

Только люди с законной потребностью должны иметь доступ к PII в ваших системах. Ограничения доступа должны быть установлены для надлежащего назначения PII. Кроме того, важно помнить эти ключевые принципы доступа к данным при управлении данными этого типа:

• Доступ к данным только для ведения университетского бизнеса.
• Не получайте доступа к данным для личной прибыли или любопытства.
• Ограничьте доступ к минимальному объему информации, необходимой для выполнения вашей задачи. Например: Если вы создаете или запускаете отчет, и получатели не требуют полной даты рождения или этнической принадлежности, не включайте эти поля в отчет.
• Уважайте конфиденциальность и конфиденциальность людей, чьи записи вы получаете доступ. Например: На публике не говорите о конфиденциальной информации, в которой несанкционированные люди могут услышать разговор.
• Не делитесь данными IU с третьими лицами, если это не является частью ваших рабочих обязанностей и Он был одобрен соответствующими управляющими данными. Например: Если вы покупаете торговый продукт, который будет собирать институциональные данные, вы должны связаться с соответствующим стюардом для одобрения до какого -либо сбора данных или обмена. Аналогичным образом, если вы проводите исследования с коллегами за пределами IU, прежде чем делиться какими -либо данными, вы должны иметь письменное одобрение Совета по рассмотрению человеческих субъектов и соответствующих стюардов. Для получения дополнительной информации см. Обмен институциональными данными с третьими лицами.
• Если вы не уверены в процедурах обработки данных:
  • Проверьте ресурсы в базе знаний IU, Data Management @ IU, а также информационной безопасности и политике.
  • Проконсультируйтесь со своими ИТ -людьми или соответствующим стюардом данных или отправьте почту в UIPO@IU.эду .

  Это документ BHII в базе знаний.
  Последнее изменено 2022-08-24 16:49:45 .

  Поли считается PII (лично идентифицируемая информация) в рамках GDPR?

  Поскольку GDPR встряхивает все в тот момент, когда я работаю над несколькими изменениями в нашем веб -сайте/процессе. Я работаю в области электронной коммерции в UX (базирующемся в Великобритании) и поддерживаю маркетинговые команды с определенными мероприятиями. Мой вопрос: считает ли пол отдельного лица как PII? Мы храним пол в слое данных в качестве переменной JavaScript, которая проводится в нашем собственном бизнесе, мы можем затем перенести эти переменные на платформу тестирования для нацеливания на лиц на основе наличия этих переменных. Поскольку я не является юридическим человеком/типом данных, я не на 100% уверен, что мы храняем нас и имею средства для передачи пола человека (извлеченного из информации, которую мы получаем, когда они создают с нами учетную запись), мы нарушаем какие -либо соглашения о информационной безопасности? Если это связано с политикой компании и т. Д. Тогда просто дайте мне знать, и я закрою вопрос, так как это не совсем для.

  спросил 17 мая 2018 года в 11:22

  301 1 1 Золотой значок 2 2 Серебряные значки 9 9 Бронзовые значки

  Пожалуйста, обратитесь к этому – dbsdata.сопутствующий.Великобритания/WP-content/uploads/2018/03/… Могу ли я просто упомянуть, что вообще не принимают какие-либо комментарии/ответы здесь в качестве юридической консультации. Если вы все еще не уверены, обратитесь за профессиональной юридической консультацией. На странице 10 моей ссылки вы найдете список всех данных, рассматриваемых как «PII»

  – user173641

  17 мая 2018 года в 11:38

  @Joshjones, конечно, я просто хотел оценить, должен ли я пойти дальше, чтобы инвестировать это. Спасибо за помощь.

  17 мая 2018 года в 12:16

  Если вы просто храните агрегацию пола, который не может идентифицировать человека, вы немного в безопасности. Если вы храните тонны данных, которые способны взаимосвязать с полом, ответ-нет, вам нужно согласие от человека. Еще один пример, если у кого -то разрабатывается «счетчик использования туалета», чтобы исследовать, следует ли расширить туалет, использовать датчик движения для подсчета – это нормально. Однако, если в здании есть только одна женщина, это будет ясно вторжение в конфиденциальность. Так что здравый смысл также вступает в игру.

  17 мая 2018 года в 12:29

  Сколько у вас вариантов для пола? Например, могут быть редкие конфигурации гендерных хромосом, такие как XXXXY, которые приближаются к идентификации людей.

  17 мая 2018 года в 13:01

  @Cronax Мы не назначаем пользователям автоматически – они выбирают себя во время создания учетной записи. Это совершенно свободный выбор. Это на самом деле используется, поэтому мы не отправляем рекламы для одежды и женского нижнего белья нашим клиентам мужского пола. Это обсуждение может продолжаться вечно, так что давайте оставим его в покое ради ветки!

  17 мая 2018 года в 15:09

  2 ответа 2

  Определение личных данных, как упомянуто в GDPR:

  ‘личные данные’ означает любую информацию, касающуюся идентифицированного или идентифицируемого естественного человека (‘Данные субъект’); идентифицируемый естественный человек – это тот, кого можно определить, напрямую или косвенно, в частности, со ссылкой на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн -идентификатор или один или несколько факторов, характерных для физического, физиологического, генетического, психического, экономического, культурного или социального идентичности этого естественного человека;

  Поскольку вы заявляете, что вы используете наличие переменной для целевых людей, пол определенно имеет косвенную ссылку на чью -то личность и, как таковые, являются личными данными. Однако это не означает, что вы должны прекратить обработку пола в описанном вами контексте.

  С точки зрения риска (в чем дело GDPR), я не вижу проблемы, если вы разделяете только пол – что на самом деле псевдонимичено, поскольку вы не предоставляете какие -либо другие данные о прямой идентификации вместе с ним.

  Однако, у вас есть другие обязательства W.р.Т. Принцип прозрачности, включающий обработанную деятельность в ваш реестр обработки, определение юридического основания для обработки (и действующего соответствующего), определения взаимоотношений процессора-контроллера с вашей третьей стороной и включения необходимых предложений в договоре и т. Д. Чтобы определить все это, требуется гораздо больше информации, чем вы поставили в своем вопросе, и я настоятельно рекомендую обращаться за профессиональным советом (законно), чтобы поддержать вас в этом вопросе.

  Личная информация (PII) против. Персональные данные – что’s разница?

  

  Ключевым принципом криминалистики является то, что “Каждый контакт оставляет след.” Немногие люди сегодня полностью осведомлены о том, сколько следов личной информации они оставляют каждый день. Некоторая из этой информации общая или анонимная, но гораздо больше ее может подразумевать или раскрыть идентичность, чем многие люди осознают.

  USCRENTRICS

  3 марта 2021 г

  

  Оглавление

  Покажи больше шоу меньше

  Забронируйте демонстрацию

  Узнайте, как наше решение по управлению согласия может улучшить конфиденциальность и пользовательский опыт для ваших пользователей.

  Получите бесплатный аудит конфиденциальности данных сейчас!

  Упс, что -то не так с URL. Пожалуйста, проверьте еще раз.

  9 минут, чтобы прочитать

  Введение

  Ключевым принципом криминалистики является то, что “Каждый контакт оставляет след.” Немногие люди сегодня полностью осведомлены о том, сколько следов личной информации они оставляют каждый день. Некоторая из этой информации общая или анонимная, но гораздо больше ее может подразумевать или раскрыть идентичность, чем многие люди осознают.

  Эти идентифицирующие детали являются личной идентифицируемой информацией (PII), которая является ключевым элементом политик конфиденциальности, структуры защиты данных, государственных правил и различных технических преступлений. Чем больше PII мы производим, тем более сложным станет безопасным.

  Добавление к сложности, “личные данные”, Другой обычно используемый термин не тот, что “Лично идентифицируемая информация”. Коллекционеры, пользователи и покупатели информации, от частных компаний до благотворительных организаций и правительств, все возможное, чтобы правильно классифицировать и защищать информацию, которую они запрашивают, используют, хранят, продают или сообщают.

  

  Ознакомьтесь с нашим вебинаром на CCPA и почему важны требование «не продавать мою личную информацию».

  Что лично идентифицируемая информация (PII)?

  Личная информация (PII) состоит из информации, которая самостоятельно или в сочетании с ограниченным количеством других данных может использоваться для идентификации человека. Организации несут ответственность за обеспечение и использование юридически всей информации, которую они собирают от пользователей или клиентов. Однако некоторые типы информации считаются более чувствительными, чем другие.

  Термин “Лично идентифицируемая информация” обычно используется в разных организациях и отраслях, особенно в Соединенных Штатах. Однако, хотя он используется как правительственными, так и неправительственными учреждениями, его значение может варьироваться, и это не является юридическим термином или определением.

  Что является конфиденциальной лично идентифицируемой информацией?

  PII, который может быть непосредственно связан с человеком’S Identity, например, имя и номера по фамилии или кредитной карты, также называется конфиденциальной личной информацией или связанными данными. Это связано с тем, что эта информация напрямую или почти напрямую связана с и может раскрыть человека’S личность.

  Что еще более важно, однако, такая информация является конфиденциальной из -за потенциального вреда, которое его злоупотребление может сделать человеку. Это варьируется от публичного смущения до преступной виктимизации, если информация потеряна, украдена или раскрывается без разрешения.

  Некоторые примеры связанных/чувствительных PII:

  • имя и фамилия
  • домашний адрес
  • Адрес электронной почты
  • номер телефона
  • номер паспорта
  • Водитель’S Номер лицензии
  • Номер социального страхования
  • фото лица
  • Номер кредитной карты
  • Имя пользователя учетной записи
  • Отпечатки пальцев
  • финансовые записи
  • медицинские записи

  Однако, несмотря на широкое разнообразие и чувствительность такой информации, не существует ни одного глобального определения личной информации, а также какие типы информации она охватывает. В результате определения PII могут отличаться между организациями и по границам.

  Что такое нечувствительный PII?

  Этот вид информации также называется связанными данными, потому что она требует, чтобы больше элементов данных было связано вместе, чтобы установить человека’S личность. В то время как чувствительный PII может выявлять идентичность самостоятельно или с очень ограниченными комбинированными источниками информации.

  Некоторые примеры ссылки или нечувствительного PII:

  • Имя или фамилия (если это’S распространен)
  • мать’S Девичья фамилия
  • частичный адрес, как страна или почтовый индекс
  • возрастной диапазон, e.г. 35-44
  • Дата рождения
  • пол
  • работодатель

  При создании учетной записи на веб -сайте, адреса электронной почты или выбранные имена пользователей будут PII. Пароль учетной записи также будет PII, но должен быть связан с адресами электронной почты или другими связанными данными, чтобы раскрыть личность. Платформа управления согласия (CMP) помогает гармонизировать маркетинг на основе веб-сайтов, управление данными и юридические требования.

  Если человек совершает онлайн -покупку, вся информация, которую им попросят предоставить, – это PII, включая имя и фамилию, компанию, доставку/биллинг -адрес, адрес электронной почты, номер телефона и номер кредитной карты.

  Однако это не вся информация, генерируемая такой транзакцией. В зависимости от покупки, товар’S серийный номер может стать PII. Файлы cookie, сохраненные в браузере, когда они просматривали сайты, будут PII. Как бы клиент’S Место на основе их IP -адреса. Если сайт не был безопасным, используя сертификат SSL и отображение “https” на сайте’S URL, вся информация также может быть подвержена риску несанкционированного доступа.

  Что такое не идентифицируемая информация?

  Не идентифицируемая не личность информация-это данные о человеке или данные, полученные в результате их деятельности, которые самостоятельно не могут быть использованы для идентификации кого-либо. Это может быть связано с тем, что информация уже анонимна и является частью более крупного набора данных, или потому, что она была анонимизирована.

  Некоторые примеры не идентифицируемой на личную информацию:

  • IP -адреса, которые были полностью или частично замаскированы
  • агрегированная статистика от пользовательской базы для продукта или услуги
  • Данные, которые были анонимизированы путем шифрования, удаления идентификации информации или другой техники

  Некоторые организации считают, что идентификаторы cookie и идентификаторы устройств не являются PII, в то время как другие считают, что информация идентифицируется.

  Личная информация (PII) на международном уровне

  Разнообразии в терминологии и определениях

  Некоторые страны используют “личные данные” или “персональная информация” вместо “Лично идентифицируемая информация” При обращении к типам информации, которые могут идентифицировать человека.

  В Соединенных Штатах Руководство по защите конфиденциальности личной информации (PII) . Опубликовано Национальным институтом стандартов и технологий (NIST), предоставляет наиболее широко используемое определение PII:

  “PII – это любая информация о человеке, поддерживаемом агентством, в том числе (1) любую информацию, которая может использоваться для различения или отслеживания человека‘S личность, такая как имя, номер социального страхования, дата и место рождения, мать‘девичья фамилия, или биометрические записи; и (2) любая другая информация, которая связана или связана с отделом, такой как медицинская, образовательная, финансовая и информация о занятости.”

  Многочисленные законы и юрисдикции

  Соединенные Штаты и Канада – две страны, которые имеют как федеральные, так и государственные/провинциальные правила конфиденциальности. В США Калифорния имеет одни из самых сильных правил на уровне штатов, с Калифорнийским Законом о конфиденциальности потребителей (CCPA) . Он определяет и регулирует категории, источники и использование личной информации для людей. Калифорния также будет иметь Калифорнийский Закон о правах на конфиденциальность (CPRA), когда это вступит в силу в 2023 году.

  Глобальное влияние GDPR

  Определения того, что составляет PII и как его нужно собирать, обеспечить, использовать, распределять и уничтожить, сильно различаются за пределами Европейского союза (ЕС). ЕС’S GDPR имеет наиболее широкий охват, так как он применим ко всем государствам -членам ЕС; Исландия, Лихтенштейн и Норвегия; и Торговые партнеры ЕС.

  В некоторых странах есть свои национальные правила, основанные на GDPR или предназначены для соответствия им, с подробными определениями личных данных и граждан’ Права. Другие страны, такие как Соединенное Королевство в Законе о защите данных 2018, в значительной степени реализованы GDPR.

  Великобритания находится в интересной позиции, так как они были государством -членом ЕС, когда вступили в силу как GDPR, так и Закон о защите данных, но с тех пор они покинули ЕС и теперь являются внешним торговым партнером, и поэтому должны соблюдать, а не обеспечить соблюдение GDPR. Узнайте больше о последствиях пост-Брексита на передачу данных.

  В Канаде Закон о защите личной информации и электронных документах (PIPEDA) был разработан с учетом GDPR. Он регулирует сбор, использование и раскрытие личной информации для организаций частного сектора и их коммерческой деятельности. Канада также имеет закон о конфиденциальности, который регулирует граждан’ взаимодействие с федеральным правительством.

  Соответствие GDPR требуется от организаций, с которыми участвуют граждане и компании ЕС, даже если они’Re не расположен в ЕС, что делает GDPR влиять на развитие и соблюдение других компаний и стран’ политики.

  Что такое персональные данные в рамках Общего правила защиты данных (GDPR)?

  “Личные данные” Как указано в общем регулировании защиты данных (GDPR) является законным термином, определяемый как:

  “… Любая информация, касающаяся идентифицированного или идентифицируемого естественного человека (‘Данные субъект’); Идентифицируемый человек – это тот, кого можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификационный номер или к одному или нескольким факторам, характерным для его физиологического, психического, экономического, культурного или социальной идентичности.”

  GDPR также содержит конкретные примеры как связанных, так и связанных личных данных. Примеры связанных личных данных включают имя, адрес электронной почты, личные номера идентификации и другие стандартные типы информации. Примеры связанных личных данных включают такие вещи, как дата или место рождения, раса или пол.

  PII под GDPR

  GDPR также ссылается на личную информацию, в частности, не PII, которая по-прежнему классифицируется как личные данные в соответствии с GDPR. Классификация зависит от конкретных деталей и возможной анонимизации информации.

  Соответствующие типы данных включают идентификаторы устройства, файлы cookie браузера, адреса интернет -протокола (IP -адреса), адреса управления доступом (MAC), номера идентификации международного мобильного оборудования (IMEI) и некоторые другие примеры, на которых ранее ссылались ссылки.

  Конфиденциальные данные в GDPR

  GDPR классифицирует определенные типы информации как конфиденциальные данные, которые подвержены конкретно определенным условиям обработки. Как упоминалось, конфиденциальные данные включают информацию, которая может нанести вред человеку, если он используется для идентификации и злонамеренных целей.

  Некоторые примеры конфиденциальных данных в GDPR:

  • расовое или этническое происхождение
  • политические мнения
  • религиозные верования
  • генетические данные
  • сексуальная ориентация или занятия

  Что такое не личные данные?

  Неличностные данные также определяются в GDPR, наиболее просто как информация, которая не позволяет идентификации индивидуума. Более конкретно, в нем описывается, что такие данные могли быть анонимизированы или никогда не были чувствительны к началу с.

  “Принципы защиты данных, следовательно, не должны применяться к анонимная информация , а именно информация, которая не относится к идентифицированному или идентифицируемому естественному лицу или с личными данными, сделанными анонимными таким образом, чтобы субъект данных не был или больше не идентифицируется .”

  Неличностные данные включают те же виды информации, что и та, которая классифицируется как нечувствительная личная информация за пределами ЕС и GDPR.

  Некоторые примеры неличных данных в рамках GDPR:

  • возрастной диапазон, e.г. 35-44
  • Данные переписи
  • агрегированная статистика по использованию продукта или услуги
  • Адреса интернет -протокола (IP -адреса), которые частично или полностью маскируются

  Чем PII отличается от личных данных?

  • право быть проинформированным
  • право доступа
  • Право на исправление
  • Право к стиранию/быть забытым
  • Право ограничить обработку
  • Право на переносимость данных
  • Право на объект
  • Права в отношении автоматического принятия решений и профилирования

  Что такое нарушение PII?

  Ответственность за защиту PII может лежать на том, что организация собирает и хранит информацию, а также с людьми, чьи данные это. Нарушение PII может произойти, когда организация не может соблюдать все применимые правила.

  Компания, например, должна защищать данные клиентов в соответствии с стандартами, установленными их корпоративной политикой конфиденциальности и безопасности. Но они также должны соответствовать стандартам правительств местных штатов и федераций и торговых партнеров, чтобы избежать нарушений PII.

  Типы нарушений PII

  Нарушения PII могут принимать несколько форм, в зависимости от того, какие нарушения данных или неправильное обращение произошли, скомпрометированы типы информации, а кто и сколько жертв было. Например, кража и продажа PII может быть более вредной, чем потеря или коррупция этих данных.

  Нарушения PII могут включать в себя нарушения данных, где украдены миллионы подробных записей. Они также могут включать нарушения более низкого уровня, такие как компании, не достаточное ограничение доступа и совместного использования данных между внутренними отделениями или с подрядчиками. Или организации не могут адекватно анонимизировать данные, прежде чем предоставить их клиентам, партнерам или исследователям.

  Примеры нарушений PII

  Кража личности является распространенной формой нарушения PII. Несанкционированный доступ к чувствительным PII может предоставить плохим субъектам доступ к отдельным лицам’ счета, банковское дело, информация о здравоохранении и многое другое. Эта информация может быть использована для всего, от мошеннических покупок с похищенными номерами кредитных карт до торговли людьми с украденной информацией о паспорте.

  Нарушения PII могут происходить в Интернете, а также в физических пространствах. Организация может иметь отличную безопасность цифровых данных, но иметь офисы с открытыми корзинами, где люди могут отказаться от конфиденциальных бумажных документов. Компьютерное оборудование или телефоны можно обменять или переработать без надежного вытирания или уничтожения.

  Заключение

  Каждый контакт оставляет след и во все более цифровом и взаимосвязанном мире, между людьми и организациями больше контактов, чем когда -либо прежде, чем когда -либо.

  В курсе этой огромной и постоянно развивающейся темы и проблемы требуются специализированный опыт и инструменты. Принять лучшие практики для соблюдения нашего контрольного списка файлов cookie GDPR и свяжитесь с одним из наших экспертов, чтобы увидеть, как концентрация может помочь.

  Личная информация (PII) против. Персональные данные – в чем разница?

  Статьи по Теме

  Конфиденциальность информации в Неваде, собранную в Интернете от Закона о потребителях (NPICICA) и поправки SB-260: Обзор

  Npicica предшествует Калифорнии’S Законы о конфиденциальности данных и более специфичные для конфиденциальности данных на веб -сайтах и ​​других онлайн.

  Сравнение законов о конфиденциальности данных на уровне государства США

  США не имеют федерального закона о конфиденциальности, хотя 6 штатов приняли законы. Мы сравниваем, что означают эти законы.

  Достичь соответствующих правил.

  Подписывайтесь на нашу новостную рассылку

  Будьте в курсе последних новостей о конфиденциальности данных и Uscertrics’ решения.

  Нажав “Зарегистрироваться” Я подтверждаю, что хочу подписаться на информационный бюллетень Usercentrics. Я согласен с тем, что мои данные могут использоваться для любой информации, связанной с продуктами и услугами, предлагаемыми USRENTRICS ™. Я могу легко отозвать это, нажав на ссылку UnsubScribe в любом электронном письме или просто написать [по электронной почте защищено] См. Политика конфиденциальности

  Продукты

  • Управление согласия веб -сайта
  • Управление согласия приложения
  • Усильственные веб -сайты (бета)
  • Умный защитник данных

  Нормативно-правовые акты

  • GDPR (ЕС)
  • CCPA (Калифорния)
  • VCDPA (Вирджиния)
  • LGPD (Бразилия)
  • Попа (Южная Африка)
  • TCF 2.0 (IAB)