个人数据保护:数据主体,personal data and identifiers explained

个人数据是可以用来识别个人的任何形式的数据,natural person.在数据保护和隐私法中,包括General Data Protection Regulation(徳赢中国GDPR),它的定义超出了“个人数据”这一术语在事实上可以应用于几种类型的数据,这些数据使其能够识别或识别自然人。

合并和聚合的数据越多,个人数据越丰富,越难识别,风险和责任越高

In the scope of the 徳赢中国GDPR,例如,它包括可直接或间接识别自然人的数据。

正如我们在这篇关于个人数据的文章中看到的,个人数据处理,个人数据保护,identifiers and the data subject(数据能够识别的自然人)这个徳赢中国GDPR文本此外,还扩大了个人数据的定义和列表,以便与今天和年加入传统个人数据列表的个人数据类型更加一致。digitalizationvwin中国 用在其他中,data gathered via thevwin免佣百家乐 (物联网);RFID标签,data from so-called传感器和执行器,anything really.

这不仅对开发人员了解应用程序对消费者很重要,例如智能家居applications or in the sphere of consumer electronics overall where it seems obvious as these by definition are for personal usage and thus will process personal data and enable to gather all sorts of identifiers.然而,在商业环境中,甚至在徳赢中国 你需要检查一下。例如:在制造业中,我们看到越来越多的与健康相关的工人实时数据通过所谓的可穿戴设备进行监控。这通常是为了工人的安全和安全,它可以符合有关工人与雇主关系的合同规定,但你需要知道,特别是在这个例子中,我们甚至谈到敏感数据。那么:请检查您是否提供了一个具有现代标识符的应用程序(通过所谓的data protection impact assessment).

Simply said: there is more to personal data and identifiers in the scope of the 徳赢中国GDPR than one might think.在这种数字环境下,可能导致自然人身份识别的个人数据类型列表还包括电子邮件地址,饼干,IP地址和,总体而言,很多在线标识符.

徳赢中国gdpr和个人数据-深度挖掘

个人数据:比看起来要多

有时电子邮件地址足以识别某人。有时您需要在线标识符和其他标识符的混合。Usually,您拥有和处理的个人数据和标识符越多,更严格的个人数据保护规则,自然人的权利、义务和责任成为,可能更高行政罚款当有一个个人数据泄露,例如。

此外,当你有大量的个人数据和标识符,像大多数情况下那样,随处可见时,事实上很难保证诸如擦除权.

On our overview page of the 徳赢中国GDPR we cover personal data,标识符,special categories of data(敏感)遗传的,健康,性别,生物计量学,等)and data subjects.在这里,您可以深入了解gdpr个人数据保护方面,例如徳赢中国化名,数据主体,个人数据和标识符。

什么是个人资料(它们不是什么)对于GDPR,徳赢中国什么是个人可识别信息,何时会成为敏感的个人信息,或者在gdpr中使个人数据敏感的标识符是什么?徳赢中国

在实践中,许多人都在努力确定什么时候将数据视为个人数据或非个人数据,哪些类型的个人数据更受保护(敏感数据),what makes personal data processing riskier and how far the concept of personal data really stretches.

理解这些概念是至关重要的徳赢中国GDPR意识准备好你的GDPR合规之旅。徳赢中国通常情况下,在执行官不承认为个人数据的特定类型的数据(而这些数据是用于一般数据保护法规)方面,都会犯错误。

It's one of the shortest ways to 徳赢中国GDPR fines as not getting the essence of personal data processing and personal data types and identifiers right means the entire foundation of your GDPR plan and strategy is wrong Note: do remember that in specific cases the GDPR requires you to have a数据保护官.

gdpr个人数据保护的应用:个人数据处徳赢中国理与数据主体

我们先从GDPR的第4条(“定义”)开始,就像我们在GDPR指南中所做的那样,然后分析文章的每一部分和相关内容徳赢中国徳赢中国朗诵节目 (规定本法规和实际条款原因的文本,正如您可以想象的,理解范围和解释是至关重要的)。

上述第4条定义了GDPR中使用的各种术语,徳赢中国很明显,从个人数据的定义开始:“个人数据”是指与已识别或可识别自然人(“数据主体”)有关的任何信息;可识别的自然人是可以识别的人,直接或间接地,尤其是通过引用一个标识符,如名称,识别号,位置数据,一个在线标识符或一个或多个特定于物理的因素,生理学的,遗传的,精神上的,economic,该自然人的文化或社会身份;

gdpr徳赢中国适用于个人数据的处理:个人数据处理。它规定了保护个人数据的规则,目的是保护人们的隐私和基本权利。

处理个人数据描述了一组有关个人数据的操作。在全球不同的法律中,个人数据处理的定义不同于所包含的操作类型。在GDPR中,徳赢中国处理操作包括自动和非自动操作,具有广泛的处理定义和多种类型的操作。

在解释gdpr时,务必记住后者:这是关于隐私,徳赢中国权利和人民,因此,关于个人数据。This is crucial as it will be key in jurisprudence and is key in how the 徳赢中国GDPR looks at personal and sensitive data,以及对个人数据合法处理的定义,同意关于个人数据等等。

Last but not least,个人数据的组合和组合使用会增加隐私风险,特别关注特殊类别的数据正如我们在概述中提到的。所以,在评估您的gdpr策略中的风险和漏洞时,这应该是您的主要关注点:个人数据泄露,徳赢中国基本权利和保护的风险,from the sensitivity,聚合,数据透视图的用途和用法。

What is personal data for the General Data Protection Regulation?

如果您阅读第4(1)条,the definition of personal data consists of several elements which all need to be present.

如果我们把文章缩短一点,它说明个人数据是与某个被识别或可识别的人有关的任何信息;the rest is a further explanation with examples as we cover them below.Let's look at the key elements of personal data and of Article 4(1) – and what they mean in practice.

“任何信息”

In the general scope of the 徳赢中国GDPR ‘any information' needs to be taken literally.

It can be a cookie(one of many forms of online identifiers),一个名字,an email address,生物特征元素(面部识别,指纹)用于身份验证,一个人的位置,occupation,性别,物理因素,健康相关数据元素,上述物联网相关标识符,真的。

"Relating to"

这些数据与某人有关,因此可能会影响与信息有关的人的隐私权。

这是背景方面,这对于理解GDPR很重要。徳赢中国为了让这变得有形,考虑一个简单的数据库或Excel工作表。假设它只包含名字列表,nothing else.如果它不适合更大的上下文,或者可以追溯到某人的关系,那么列表中不包含个人数据,而是只包含名字,例如,您可以使用它们来创建一个完全匿名的最流行的名字列表。

当我们以数据的形式添加更多的上下文时,例如与人相关的工作职能和姓氏,所有数据元素,包括名字,是个人的。

自然人和GDPR数据主体:已识别和可识徳赢中国别

自然人是我们所有人:你,我和其他人。

企业不是自然人,因此gdpr仅适用于gdpr已知地理范围内的“真实人”。徳赢中国在文本中,“任何信息相关”的自然人被称为数据主体。这很容易。Now we need to add the additional elements,指自然人。如果它们被识别或识别,它们就是数据主体。

Identified natural person

一个确定的自然人或数据主体是一个众所周知的人。,named,在被承认的真正意义上确定,singled out,发现和所有其他意义的确定。That's easy too.

可识别的

具有可识别的自然人或数据主体,things get a bit trickier在实践中。有两种可能被识别的方法。一个是直接的,另一个是间接的。

个人数据——通用数据保护条例中的标识符

这里重要的是我们在GDPR概述中提到的标识符元素。徳赢中国

在线标识符可以留下痕迹,当与服务器接收到的唯一标识符和/或其他信息相结合时,可用于创建数据主题的配置文件并对其进行标识。

gdpr徳赢中国没有正式定义标识符在其范围内的内容,也没有提供所有可能标识符的完整列表。然而,文本总结了标识符的类型和更广泛的类别,which simply put are elements that enable identification.If you know the directive preceding the 徳赢中国GDPR,请注意,标识符的数量和个人数据的定义都有所增加。

第一个标识符列表也可以在我们的文章4(1)中找到。

Quote:“可识别的自然人是可以识别的人,直接或间接地,尤其是通过引用一个标识符,如名称,识别号,位置数据,一个在线标识符或一个或多个特定于物理的因素,生理学的,遗传的,精神上的,economic,自然人的文化或社会身份”。

The vast reality of identifiers: a look at online identifiers

That is indeed a large number of potential identifiers.然而,如果您查看这些潜在的标识符,一幅更广阔的图景出现了。

只需要一个在线标识符,例如。如前所述,这可能是一个饼干,由于曲奇已经存在于多种形状和口味中,有多种用途,从网络分析到广告(note that cookies are also tackled by the lex specialis to the 徳赢中国GDPR,所谓效率调节).

其他形式的在线标识符见《全球发展政策报告》第30条,其中澄清自然人可通过以下方式提供的在线标识符进行识别:徳赢中国

  • 设备,
  • 应用,
  • 工具和
  • 协议,如
  • IP(Internet协议)地址,
  • cookie标识符,或其他如
  • 射频识别(RFID)标签。

所有这些联机标识符都可以留下痕迹,when combined with unique identifiers and/or other information received by the servers(记住上下文和聚合的重要性)可用于创建数据主题的配置文件并对其进行标识。

我们选择了在线标识符来说明可能的标识符的广泛性,但是您可以想象潜在标识符对于所有其他提到的因素的广泛性,几乎与任何与数据主题有关的事物有关。根据您的行业和(处理)活动的领域,您需要查看在此范围内可能涉及数据主体隐私的因素。

徳赢中国gdpr-数据主体个人数据和标识符

实践中的可识别性和标识符:“一切手段”的含义

让我们让它更具体一些。Your mobile telecommunications provider decides to sell information regarding location and movement patterns,根据客户的移动和位置,像你这样的人。

销售模式数据实际上基于聚合数据,已断开与任何单个位置数据的连接,并位于单独的数据存储库中,该存储库在出售前与单个数据完全分离。在这种情况下,聚合数据不能追溯到个人。

如果,但是有一种方法可以将位置数据连接到个人,不是由模式信息的购买者而是由提供者,它变得更加棘手,因为客户可以通过提供者和提供者关于其用户/客户的其他数据来识别。

现在,想象一下,与其销售模式信息,供应商将在任何给定时间销售所有客户所在位置的实时数据,without enabling the buyer to know to whom this location data is related.在这种情况下,尽管实时数据的购买者只看到位置,可识别性,通过供应商,gets clearer and the location data would likely be considered as personal data.

在独奏曲26中,gdpr说徳赢中国To determine whether a natural person is identifiable,应考虑所有合理可能使用的手段,比如单挑,要么由控制器或由他人直接或间接识别自然人。”在我们的示例的第二部分中,“所有可能由控制者或另一个人合理使用的手段”可能包括提供者,需要进行广泛的解释。

GDPR徳赢中国,匿名信息与化名

Although our example is not fiction,当然,它关注的数据patterns (the part where links with individuals are removed),我们需要在这里添加两个附加元素。

第一个是匿名信息(不属于gdpr,用于销售我们知道的位置数据模式)徳赢中国.第二种是笔名化,因此,应用假名的数据属于gdpr(gdpr陈述28中提到)。徳赢中国

Pseudonymisation is one of the "appropriate technical and organisational measures to ensure a level of security appropriate to the risk

Before explaining them do keep in mind it's important to really look at examples of how you sell or leverage data and informaton with third parties.

我们使用了电信供应商的例子,但您也可以考虑医疗研究或试验,其中涉及三个或更多方:数据主体,医生医院或要求数据主体参与的任何其他组织,the labs conducting the needed test or tests and,潜在地,更多利益相关者。即使实验室可能只有您个人的测试结果,它们也可以被识别为其他实例,并且涉众可以将它们追溯回您。

在现实生活中,匿名信息和化名变得更加重要。

gdpr徳赢中国和匿名信息

gdpr的陈述26说:“数据保护原则徳赢中国不应适用于匿名信息。,即与已识别或可识别的自然人无关的信息,或与匿名提供的个人数据无关的信息,其方式使数据主体不可识别或不再可识别。因此,本法规不涉及此类匿名信息的处理,including for statistical or research purposes".

回到我们移动运营商的例子:事实上,销售模式实际上是统计数据,并且完全匿名。The data subject can't be identified.

以医学研究或试验为例(‘研究目的’)如果所有测试实验室的结果与单个患者完全分离,则信息将是匿名的,因此不受gdpr限制。徳赢中国所有可能与个人的联系都会被破坏/删除/删除,因此结果也不会传达给患者/志愿者,医院,医生和任何利益相关者。所以,再一次,无法识别。

在任何其他情况下,它属于GDPR。徳赢中国简单地说:如果实验室除了医院之外,与你的测试结果没有任何联系,要求您参加的专家或组织(并可能与您分享结果)测试结果将是个人数据,因为它可以通过可以链接结果和其他数据的特定实例追溯到您。(记住上下文如何使个人数据成为隐私风险;一般来说,数据越多,隐私风险就越高),比如医院。

The 徳赢中国GDPR and pseudonymization: the essential elements

引自序言26:“经过笔名化的个人数据,可通过使用附加信息归于自然人的信息应被视为可识别自然人的信息”。

In other words: pseudonymous data are protected by the 徳赢中国GDPR.而对于匿名信息,没有更多的数据主体的潜在标识,有笔名。

作为,与匿名信息相反,数据的笔名化,属于GDPR,它在GDPR的一些徳赢中国独奏曲和文章中出现,among others with regards to the responsibilities of the data controller,个人数据泄露,处理的安全性等等。

这里需要记住两个关键方面:

1。在GDPR可行的情况下,建议使用假名。徳赢中国

随着个人数据加密,笔名化是明确提到的“适当的技术和组织措施之一,以确保安全水平适合风险”。In other words;建议:在适当和可行的情况下,如GDPR(我们刚才提到的文本)第32(1,a)条所述。徳赢中国

正如您在我们关于gdpr就绪性的文章中所读到的,徳赢中国研究发现,54%的美国跨国公司计划使用这种去识别方法来降低GDPR风险敞口。徳赢中国

2.由于可能出现“未经授权的笔名撤销”,因此笔名属于gdpr。徳赢中国

再一次,我们需要强调数据主体视角的关键作用。Pseudonymization is the result of uncoupling certain aspects of data from a data subject(通常作为安全预防措施和分析的一部分)其中,数据记录中最容易识别和/或敏感的数据字段被笔名替换。然而,它可以被颠倒,也就是说:可以检索到笔名化的个人数据。

gdpr徳赢中国在第4(5)条中对化名的定义如下:

‘pseudonymisation' means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information,但该等额外资料须分开存放,并须受技术及组织措施规限,以确保该等个人资料不会归属于已识别或可识别的自然人;

什么是gdpr下的个人数据-由lawinfographic.co徳赢中国m的jessica lam提供的信息图表-阅读完整的文章
gdpr下的个人数据是什么?徳赢中国 LawInfographic.com的Jessica Lam提供的信息图表-阅读全文

总之——GDPR和个人数据保护徳赢中国

最后,a small recap.GDPR徳赢中国旨在保护个人数据,以保护隐私和个人权利(并非绝对权利)。

This does not include anonymous data but all other information whereby a data subject is identified or identifiable,直接或间接。This also includes pseudonymized personal data.

背景很重要。合并和聚合的数据越多,个人数据越丰富,就越难以识别,风险和责任越高,以及潜在的GDPR罚款和处罚。徳赢中国

上图:Shutterstock–Copy右边: Alfa照片–所有其他图像均为其各自提及的所有者的财产。 尽管本文的内容经过了彻底的检查,但我们对潜在的错误不承担责任,并建议您在准备GDPR时寻求帮助。徳赢中国