02. ruj 20
Izravna identifikacija pojedinca korištenjem osobnih podataka
Ponekad može biti teško razlikovati je li prirodna osoba identificirana izravno ili neizravno. Može biti teško odlučiti koja je metoda bolja za koju situaciju. Ako niste već pročitali našu objavu Identifikacija pojedinca upotrebom osobnih podataka, savjetujemo vam da to učinite. Čitanjem blog posta o identifikaciji upotrebom osobnih podataka možete bolje razumjeti ovaj post i brže ga pročitati.
Osoba je izravno identificirana ako je moguće identificirati ih koristeći samo informacije (identifikatore) koje su dostupne, kontrolirane i obrađene, bez uvođenja dodatnih podataka iz vanjskih izvora (npr. ime i prezime).
Očito je da je osoba izravno identificirana ako su dostupne sljedeće informacije (kompozitni identifikator koji daje jedinstveni odgovor):
- Gospodin John STEWART (tipovi podataka: titula, ime, prezime)
- 190 Rue Palatine (tipovi podataka: kućni broj, ime ulice)
- 75006 Paris (tip podataka: poštanski broj, grad)
- Francuska (tip podataka: zemlja)
Sljedeći primjer izravne identifikacije je upotreba ovog jednostavnog identifikatora koji daje jedinstveni odgovor:
- john.stewart@acme.com
Ovaj identifikator je čitljiv ljudima i kao rezultat otkriva ime i prezime osobe te njezino zaposlenje u tvrtki Acme Ltd. Ime osobe doista je najčešći rezultat u izravnoj identifikaciji. Praktično gledano, pojam "identificirane osobe" najčešće se odnosi na osobino ime.
Kako bi se potvrdio identitet i spriječila zbrka, ime osobe ponekad mora biti kombinirano s drugim informacijama koje uključuju, ali nisu ograničene na:
- datum rođenja
- mjesto/grad rođenja
- imena roditelja
- fotografija lica
Ponekad je potrebno potvrditi identitet osobe tako da se njihova slika lica poveže s imenom ili čak fotografija njihovog lica s identifikacijskim dokumentom (osobna iskaznica, putovnica ili vozačka dozvola) tako da je dokument na "selfieju" čitljiv ljudskim okom, ne zamagljen i strojno čitljiv s OCR-om pogonjenim AI-jem). Praksa uzimanja selfija s putovnicom kao jednim od koraka potvrde identiteta u različitim web aplikacijama povezanim s tržištima virtualnih valuta (kao što su Bitcoin i slično) prilično je uobičajena.
Pitanje ostaje kako ti igrači na tržištu jamče da se rješavaju podataka koje više ne obrađuju i je li to vremenska bomba za povrede osobnih podataka?
Online banke ili FinTech tvrtke imaju prilično uobičajen i prihvaćen korak u procesu izravne potvrde identiteta koji se sastoji od prijenosa male svote novca (npr. 1,00 EUR ili 1,00 USD) zajedno s referentnim kodom koji je jedinstven za određenog novog korisnika u nalogu za novčani prijenos. Ta mala svota potvrđuje online bankama da je osoba s imenom i prezimenom zaista vlasnik određenog bankovnog računa. FinTech tvrtke koriste činjenicu da su tradicionalne fizičke banke osobno provjerile identifikacijske dokumente i fotografiju te specifične osobe.
Potvrda punog imena osobe i broja bankovnog računa postala je uobičajena praksa u rastućoj FinTech industriji, iako online banke i FinTech tvrtke još uvijek sakrivaju politike privatnosti u sitnom tisku koje mnogi njihovi korisnici ne čitaju, niti imaju praksu izvještavanja svojim korisnicima kada se riješe osobnih podataka koje više ne trebaju.
Izravna identifikacija koristi kompozitne identifikatore koji su jasno o pojedincima, i ti identifikatori:
- opisuju pojedinca prema općim atributima (ime, prezime, ulica, broj, poštanski broj, naziv grada, država, imena roditelja, osobni identifikacijski broj, e-mail adresa, broj mobilnog telefona, zanimanje, radno iskustvo, itd.) ili
- razlikuju pojedinca od grupe s posebnim, razlikovnim, rijetkim ili osjetljivim atributima (visina, težina, boja očiju, boja kose, zdravstvene informacije, bračni status, politički izložena osoba, osoba s visokim prihodima, tetovirana, probušena, pripadnik zaštićene klase ili manjine, informacije o seksualnom životu, seksualna orijentacija, biometrijski podaci, fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet, itd.) ili
- opisuju mnoge aspekte konteksta (vrsta poveznice: zaposlenje, članstvo u teretani, članstvo u političkoj stranci, korisnik telekomunikacijske usluge, student na sveučilištu, pacijentu klinici, itd.)
Ovaj blog post dostupan je od strane autora koji je licencirani interni auditor za ISO 27001 i ima bogato iskustvo u upravljanju privatnošću. Ovaj blog namijenjen je isključivo u edukacijske svrhe kao i za prikaz stajališta autora o tome kako poslovanje shvaća zakon, a ne za pružanje konkretnog pravnog savjeta. Koristeći ovu blog stranicu, razumijete da ne postoji odnos odvjetnika i klijenta između vas i izdavača ovog bloga. Blog ne bi trebao biti korišten kao zamjena za stručni pravni savjet od strane licenciranog profesionalnog odvjetnika. Stajališta autora ne moraju nužno predstavljati stajališta Infraneta (vidi naše podatke o osnivanju) niti predstavljaju obećanje. Fotografije: Pexels.com
Preporučeni članci
-
11. ruj 20Izbjegavanje kršenja osjetljivih osobnih podataka
Povreda osobnih podataka može se dogoditi nenamjerno, ne nužno zbog nemara, već zato što analiza ponekad pokazuje da određeni podaci nisu osobni podaci, dok su zapravo. Naše stajalište je da oznaka podataka kao osobnih ovisi o mnogim čimbenicima, uglavnom o kontekstu obrade podataka. Postupanje s posebnim kategorijama podataka zahtijeva dodatnu pažnju.
-
09. ruj 20Neizravna identifikacija pojedinca korištenjem osobnih podataka.
GDPR samo spominje neizravnu identifikaciju kao način identifikacije osobe, ali ostavlja sve u mraku o ostatku. Nije samo stvar u tome želi li netko identificirati nekoga, već i o intrinzičnoj vrijednosti podataka i njegovoj inherentnoj sposobnosti olakšavanja procesa identifikacije nekoga, bez obzira na to želi li netko to učiniti ili ne.
-
02. ruj 20Izravna identifikacija pojedinca korištenjem osobnih podataka
Što je izravna potvrda identiteta? Kako se kretati kroz GDPR, budući da široko kaže: "identificirana fizička osoba je ona koja se može identificirati, izravno ili neizravno", a da ne spominje što je izravna identifikacija i što ona podrazumijeva. Pogledi autora mogli bi vam pomoći da to bolje razumijete.
-
30. kol 20Identifikacija pojedinca putem osobnih podataka
Kako potvrditi identitet osobe? Koja su načela potvrde identiteta i njihov odnos s autentifikacijom? Kako biti u skladu s GDPR-om, spriječiti krađu identiteta i povrede podataka osobnih informacija? Ovaj blog post sažima neke od tema vezanih uz GDPR koje smo obrađivali na visokoj razini. Ako tek započinjete s GDPR-om u zahtjevnom projektu, nadamo se da naši stavovi mogu učiniti vaše putovanje bržim i ekonomičnijim.
-
14. kol 20Kako znati je li podatak osobni podatak: izbjegnite početničke greške u vezi s GDPR-om
Koje podatke treba označiti kao osobne podatke i što znači izravno ili neizravno identificiranje pojedinca? Kako prepoznati osobne podatke kada nije očito da bi se podaci trebali tretirati kao osobni i uživati u potpunoj zaštiti prema GDPR-u. Zašto se ne raspravlja više o kontekstu obrade podataka? Neki od naših stavova u ovom blogu mogli bi vas natjerati na razmišljanje.
-
06. kol 20Cookie pristanak i GDPR - izbjegavajte uobičajene pogreške
Koje podatke treba označiti kao osobne podatke i što znači izravno ili neizravno identificiranje pojedinca? Kako prepoznati osobne podatke kada nije očito da se podaci zapravo trebaju tretirati kao osobni i uživati u potpunoj zaštiti prema GDPR-u. Zašto ljudi manje raspravljaju o kontekstu obrade podataka? Neke od naših gledišta u ovom blogu mogu vas natjerati na razmišljanje.
-
04. kol 20ISO/IEC 27001 - razumijte naš način razmišljanja
Kada je u pitanju sigurnost informacija, naš je cilj da razumijete naš način razmišljanja. Vjerujemo da ako razumijete kako mi razmišljamo, bolje ćete shvatiti stvarnu važnost pridržavanja standarda ISO 27001 i sve prednosti koje donosi vašem poslovanju.