Личная информация в соответствии с GDPR: что это такое и чем она не является
Общий регламент по защите данных (GDPR) вступает в силу 25 мая. Чтобы соответствовать GDPR, организации должны выполнить определенные шаги, чтобы обеспечить надлежащую защиту личной информации, которую они обрабатывают, собирают и хранят. Но, к сожалению, часто возникает путаница в отношении того, что определяет личную информацию. Для соблюдения правил важно, чтобы организации знали, что является личной информацией, а что нет. Это руководство может указать вам правильное направление.
Загадка личных данных
Для надлежащей защиты данных мы должны понимать, что мы защищаем или что должны защищать. GDPR требует, чтобы все организации — где бы в мире они ни находились — обрабатывающие личную информацию граждан ЕС, делали это в соответствии с регламентом. Это означает, что вся личная информация должна надежно обрабатываться и управляться.
Используются вариации этого термина. Мы слышим о личных данных, информации, позволяющей установить личность, PII и конфиденциальных личных данных. Кроме того, данные, которые прямо идентифицируют, данные, которые косвенно идентифицируют, а также онлайн-идентификаторы. Неудивительно, что мы остались в замешательстве.
Что довольно удивительно, так это то, что в наш век данных, как много организаций твердо убеждены, что они не собирают, не хранят и не обрабатывают личные данные в какой-либо форме! Это может быть связано с простым невежеством (непониманием того, что это такое) или, возможно, отрицанием — кто знает? Однако одно можно сказать наверняка: 25 мая те организации, которые обрабатывают эти данные и не соблюдают требования, не смогут избежать последствий. Постановление не оставляет места для сослаться на незнание. Заявление о том, что вы «просто не знали», не поможет.
Нам нужна некоторая ясность, чтобы убедиться, что у нас есть правильные методы для безопасной обработки и управления этими данными в соответствии с законодательством. В качестве альтернативы мы можем решить, что нет необходимости хранить эти данные и полностью удалить их из бизнес-процесса. Помните… собирайте и обрабатывайте только то, что вам нужно для бизнес-функции (и для чего вы получили явное разрешение). Если он вам не нужен, не собирайте его! Это значительно упрощает вашу работу.
Личная информация, конфиденциальная информация и PII
Информация, позволяющая установить личность, или PII, на самом деле является американским термином. Личная информация должна быть эквивалентом PII в ЕС. Однако они не всегда точно соответствуют друг другу. Таким образом, все PII являются персональными данными, но не все персональные данные являются PII. Персональные данные в контексте GDPR охватывают более широкий спектр информации. Поэтому, чтобы соответствовать GDPR, вам необходимо взглянуть на более широкий контекст того, что такое персональные данные (не только PII), включая PII, а также другие формы персональных данных.
Чтобы бросить гаечный ключ в работу, GDPR также ссылается на «конфиденциальные персональные данные», которые требуют особой осторожности, включая повышенные требования к защите и обработке. Обычно это связано, в частности, с данными, связанными со здоровьем. Это данные, которые создают наибольший риск и наибольший вред для человека в случае взлома.
Все дело в названии? PII — это любая информация, которая может быть использована для идентификации человека. Это может быть один фрагмент данных или несколько фрагментов данных, которые при компилировании или просмотре вместе идентифицируют человека или отличают одного человека от другого.
Персональные данные – это любая информация, относящаяся к какому-либо лицу прямо или косвенно. Однако, что касается значения личной информации в GDPR, оно также определяет тип и объем данных, которые вы можете собирать, обрабатывать и хранить.
Все законы о защите данных во всем мире направлены на защиту персональных данных. GDPR ориентирован на защиту прав человека субъекта данных, в данном случае их права на неприкосновенность частной жизни. Возникает путаница, поскольку во всех законах определение персональных данных несколько различается, оставляя место для различных толкований. Организации остаются в замешательстве относительно того, что такое персональные данные, а что нет. Могут ли личные данные стать неличными, если они псевдонимизированы или зашифрованы? Являются ли персональные данные и PII двумя ссылками на одно и то же?
Что говорит ДПД?
Действующая Директива ЕС о защите данных 95/46/EC (DPD) определяет персональные данные следующим образом:
«Персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»); идентифицируемое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, по идентификационному номеру или по одному или нескольким факторам, характерным для его физической, физиологической, умственной, экономической, культурной или социальной идентичности.
В соответствии с DPD определение немного расплывчато в отношении того, классифицируются ли такие данные, как IP-адреса, файлы cookie и идентификаторы устройств (например), как личные данные. Некоторые говорят, что да, поскольку строки cookie и IP-адреса могут идентифицировать человека. Третьи считают, что их нет.
Как насчет GDPR…
Это один из примеров, когда GDPR дает дополнительные разъяснения. В соответствии с GDPR эти данные классифицируются как персональные. В нем разъясняется, что онлайн-идентификаторы и данные о местоположении являются личными и должны быть защищены как таковые. Это определено в GDPR в разделе «Персональные данные и уникальные идентификаторы».
GDPR определяет персональные данные следующим образом:
«Персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»); идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на такой идентификатор, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или на один или несколько факторов, характерных для физического, физиологического, генетическая, умственная, экономическая, культурная или социальная идентичность этого физического лица.
GDPR также определяет псевдонимные данные, генетические данные и биометрические данные.
Псевдонимные данные немного интереснее. Они по-прежнему классифицируются как персональные данные и подпадают под ограничения регулирования.
Итак, ответ на вопрос «могут ли личные данные, которые зашифрованы, стать неличными данными?» есть — нет, не может. Шифрование не преобразует личные данные в неличные данные. Однако это лишает данные возможности идентифицировать человека. Поскольку данные больше не могут использоваться для идентификации человека, организации, которая использовала техническую меру для псевдонимизации данных, предлагается определенная снисходительность в отношении регулирования, особенно в отношении требований об уведомлении об утечке данных. Эта гибкость обусловлена тем, что риск и вред для человека существенно снижены, поскольку данные (хотя и с нарушениями) больше не могут идентифицировать человека. Шифрование ваших данных кажется ответом!
Кроме того, другие положения GDPR могут быть не такими строгими, если данные зашифрованы, потому что псевдонимизированные данные вряд ли создадут риск или вред для человека. Благодаря использованию технологий, которые шифруют данные или делают их псевдонимизированными, организации могут управлять обязанностями по соблюдению требований и лучше управлять своими рисками.
Категории генетических и биометрических данных в соответствии с GDPR классифицируются как конфиденциальные персональные данные. Эти типы данных теперь помещены в категорию с другими конфиденциальными данными и требуют повышенной безопасности и защиты (поскольку риск для человека намного выше). Для обработки этих данных также необходимо явное согласие. Перед обработкой данных такого типа, вероятно, необходимо провести оценку воздействия на конфиденциальность (PIA), чтобы убедиться, что процедуры, используемые для обработки этих данных, соответствуют требованиям, а риски определены для надлежащего управления ими. Все конфиденциальные данные должны соответствовать положениям усиленной безопасности и обработки.
GDPR заменит Директиву ЕС о защите данных 95/46/EC (DPD) и направлен на устранение многих существующих неопределенностей.
Некоторые примеры персональных данных включают (но не ограничиваются ими):
| Примеры связанных персональных данных (непосредственно связанных с человеком) | Связываемые личные типы (комбинируйте, чтобы идентифицировать человека) | Чувствительные (особые типы персональных данных) |
| ФИО | Только имя | Биометрические данные |
| Дата рождения | Только фамилия | Расовые данные |
| Адрес проживания | Часть адреса (страна, улица, почтовый индекс и т. д.) | Данные о здоровье |
| Номер телефона | Возрастная категория не определена (20-30 лет или 40-60 лет и т.д.) | Этническое происхождение |
| Адрес электронной почты | Место работы | Политические взгляды |
| Номер паспорта | Должность на работе | Религиозные или философские убеждения |
| Идентификационный номер | айпи адрес | Сведения о профсоюзе |
| Номер водительского удостоверения | Идентификатор устройства | Генетические данные |
| ИНН | Сексуальные предпочтения | |
| Банковские/карточные номера |
Правила конфиденциальности, а не только GDPR, сильно бьют по дому
Существует тонкая грань между тем, что является и не является личными данными. То, что раньше не определялось как персональные данные, теперь является, например, номером клиента, хранящимся в файле cookie, идентификатором устройства, IP-адресом или любым уникальным идентификатором устройства. Маловероятно, что ваша организация не обрабатывает персональные данные.
Однако мы не должны пытаться прятаться за вариантами терминов или определений. Различия в используемых терминах невелики. Вам просто нужно помнить, что персональные данные в соответствии с GDPR уточняют гораздо больше информации, чем в соответствии с DPD, и включают в себя больше, чем американское определение PII. Вам необходимо обратиться к более широкому контексту — ко всем категориям данных и их конкретным требованиям к типу, хранению, сбору и обработке. Во всяком случае, есть больше личных данных, которые нам нужно защитить, поэтому ответственность выше.
Соблюдать стандарты конфиденциальности становится все сложнее. Хотя использование инструментов и технологий (соответствующих операционных и технологических мер) для защиты процессов и информации значительно облегчает достижение этой цели.
Использование ориентированного на данные подхода, прямая защита данных и обеспечение их неидентифицируемости с помощью шифрования или псевдонимизации устраняет риск и вред для человека. Вы также можете немного расслабиться, зная, что ваши данные конфиденциальны — независимо от того, что происходит и где они находятся.
Зная тип данных, которые вы обрабатываете, вы можете принять соответствующие меры для их защиты. Вы будете удивлены огромным количеством личной информации, которую вы собираете, обрабатываете и храните! Если вы не уверены, возможно, лучше просто зашифровать и все!