09. ruj 20
Neizravna identifikacija pojedinca korištenjem osobnih podataka
Najčešće je indirektna identifikacija prilično intuitivna, ali ponekad može postati kontraintuitivna, posebno u početku upravljanja osobnim podacima. Blog post Identifikacija pojedinca putem osobnih podataka natjerat će vas da razmislite o osnovama identifikacije privatne osobe putem osobnih podataka i obraditi sve teme o kojima trebate razmišljati kad upravljate identificiranjem ili identifikacijom.
Osoba je indirektno identificirana putem alfanumeričkog jednostavnog identifikatora, obično dodijeljenog od strane entiteta visoke ovlasti (državna tijela, banke, telekomunikacije), a identifikatori koje izdaju su matični brojevi, telefonski brojevi, brojevi bankovnih računa i slični identifikatori. Ti jednostavni identifikatori mogu identificirati ili omogućiti identifikaciju prirodne osobe sužavanjem skupine kojoj osoba pripada. Međutim, podaci iz tih vrsta izvora nisu savršeni i uvijek pouzdani - često se događa da roditelj registrira mobilni telefon za svoju djecu, da braća to čine međusobno, da osoba koristi više od jedne banke, da djeca koriste kartice svojih roditelja, da supružnici koriste kartice jedno drugoga. Navedene situacije stvaraju buku u podacima i čine ih manje pouzdanimima od matičnog broja (ili bilo kojih drugih vladinih izdanih osobnih identifikacijskih brojeva, kodova ili oznaka).
Ako informacija koja je dostupna nije dovoljna za njihovo identificiranje, ali dostupni podaci moraju biti korišteni zajedno s drugim informacijama na koje je pojedinac sposoban i ima pravo razumno i zakonito pristupiti od treće strane ili drugog izvora dajući dostupne osobne podatke kako bi se dobili dodatni osobni podaci koji identificiraju određenu osobu.
Primjeri jednostavnih identifikatora navedeni su u obliku grafičkih točaka u nastavku:
- broj registarske oznake vozila - policija ima registar registarskih oznaka povezanih s vlasnicima vozila, tako da policija može identificirati određenu osobu (vlasnika vozila), ali to neće učiniti bez odgovarajuće pravne osnove (svrha obrade podataka, npr. prometna nesreća)
- matični broj je jedinstven za svaku osobu u zemlji i izdaje ga porezna ili druga tijela - pojedinac može zatražiti izdavačko tijelo i druge osobne podatke o određenoj osobi koja se poziva na matični broj
- broj putovnice, broj osobne iskaznice, broj vozačke dozvole ili bilo koji drugi dokument izdan od strane vlade - policija ima registar identifikacijskih dokumenata i njihovih nositelja
- broj bankovnog računa u IBAN formatu izdan od banke - pojedinac može zatražiti od banke i druge osobne podatke o određenoj osobi koja se poziva na IBAN
- telefonski broj izdan od pružatelja telekomunikacijskih usluga - pojedinac može zatražiti od telefonske tvrtke osobne podatke o određenoj osobi koja se poziva na određeni jedinstveni broj telefona
- unos alfanumeričkog koda dostavljenog osobi SMS-om od strane upravitelja podataka koji zahtijeva da pojedinac potvrdi svoj identitet, gdje kôd brzo istječe (u minutama)
- korištenje bankarskih mobilnih tokena (koji se koriste za potpisivanje bankarskih transakcija na stolnim računalima), mobilnih aplikacija koje generiraju ključ-vrijednost parove za autentifikaciju gdje je ključ konstanta koja identificira uređaj i indirektno korisnika, a slučajni broj (provjerljiv ključ-vrijednost) generira se odmah nakon unosa ispravnog PIN-a, ili se 2D barkod skenira pri čemu se unosi ispravan PIN na web aplikaciji ili čak postavlja sigurnosno pitanje. Ti m-tokeni integrirani su s aplikacijom koja zahtijeva visoku razinu povjerenja u indirektnu potvrdu identiteta od treće strane, praktički jamčeći da je ako je postupak autentifikacije uspješan, to bio očekivani specifični pojedinac koji je autentificiran. Postaje sve popularnije da su svi PIN-ovi dužine 6 umjesto 4 znamenki i unose se na tipkovnici koja podsjeća na birani broj telefona, ali svaki put pokazuje različiti redoslijed brojeva, što otežava zloupotrebu
- korištenje dvostrukog faktorskog autentifikacije s proizvodima trećih strana, poput Google Autentifikatora ili Microsoft Autentifikatora koji generiraju 8-znamenkasti numerički kod svake sekunde, a taj kod identificira pametni telefon i posljedično povećava vjerojatnost da određena osoba pokušava autentificirati se
- postupno uvođenje kvalificiranih digitalnih potpisa s kvalificiranim vremenskim žigom danima od lokalnih vlasti (u svakoj članici EU-a) i posebno onih koji su zaslužili biti navedeni na nacionalnim popisima povjerenih eIDAS-a i EU popisu povjerenih eIDAS popisima (na popisu su uglavnom specijalizirane tvrtke za upravljanje digitalnim identitetom, banke, financijske institucije, nacionalni poštanski operateri, ministarstva i druga državna tijela, poput državnih agencija koje se bave financijama, trgovinom i obranom)
Indirektno identificiranje također uključuje konzultiranje javno dostupnih izvora za mnoge vrste podataka:
- online telefonski imenici (npr. moguće je pretraživati ime, adresu i grad za telefonski broj i obratno)
- društvene mreže (npr. Facebook je imao značajku da ako se u polje za pretraživanje unese mobilni telefon, rezultat pretraživanja bio bi Facebook profil)
- vijesti (npr. pretraživanje na mreži političkih stajališta o određenim temama, vjerskih stajališta, sportskih povezanosti određenog poslovnog čovjeka kako bi se pripremio za sastanak i koristile te informacije kao sredstvo pregovora)
- blogovi određenih autora (npr. saznati njihov stav o određenoj temi ili iskustvo u određenom području, profili na društvenim mrežama, itd.)
- ostali javno dostupni online izvori (npr. prilikom provođenja dubinske analize potencijalnog zaposlenika pregledavanjem rezultata pretraživača)
Ako se neki izvorni podaci (ili skup podataka) ne mogu koristiti za identifikaciju određene osobe ili ih učiniti identificirajućima, ali kada se koriste s drugim podacima, izvorni podaci trebaju se smatrati osobnim podacima i podliježu GDPR-u i svim zaštitama koje osigurava ispitaniku podataka te svim obvezama koje nameće upravitelju podataka i obrađivaču podataka.
Nemojte griješiti, traženje od treće strane da dostavi dodatne osobne podatke pružajući im neke osobne podatke je obradna aktivnost.
Prijenos male svote novca (npr. 1,00 EUR ili 1,00 USD) uz referentni kod jedinstven za određenu osobu unesen u nalog za bankovni prijenos prilikom izvršavanja početnog malog prijenosa na internetsku banku čest je korak u postupku indirektne potvrde identiteta.
Ovaj blog post dostupan je od strane autora koji je licencirani interni auditor za ISO 27001 i ima bogato iskustvo u upravljanju privatnošću. Ovaj blog namijenjen je isključivo u edukacijske svrhe kao i za prikaz stajališta autora o tome kako poslovanje shvaća zakon, a ne za pružanje konkretnog pravnog savjeta. Koristeći ovu blog stranicu, razumijete da ne postoji odnos odvjetnika i klijenta između vas i izdavača ovog bloga. Blog ne bi trebao biti korišten kao zamjena za stručni pravni savjet od strane licenciranog profesionalnog odvjetnika. Stajališta autora ne moraju nužno predstavljati stajališta Infraneta (vidi naše podatke o osnivanju) niti predstavljaju obećanje. Fotografije: Pexels.com
Preporučeni članci
-
11. ruj 20
Izbjegavanje kršenja osjetljivih osobnih podataka
Povreda osobnih podataka može se dogoditi nenamjerno, ne nužno zbog nemara, već zato što analiza ponekad pokazuje da određeni podaci nisu osobni podaci, dok su zapravo. Naše stajalište je da oznaka podataka kao osobnih ovisi o mnogim čimbenicima, uglavnom o kontekstu obrade podataka. Postupanje s posebnim kategorijama podataka zahtijeva dodatnu pažnju.
-
09. ruj 20
Neizravna identifikacija pojedinca korištenjem osobnih podataka.
GDPR samo spominje neizravnu identifikaciju kao način identifikacije osobe, ali ostavlja sve u mraku o ostatku. Nije samo stvar u tome želi li netko identificirati nekoga, već i o intrinzičnoj vrijednosti podataka i njegovoj inherentnoj sposobnosti olakšavanja procesa identifikacije nekoga, bez obzira na to želi li netko to učiniti ili ne.
-
02. ruj 20
Izravna identifikacija pojedinca korištenjem osobnih podataka
Što je izravna potvrda identiteta? Kako se kretati kroz GDPR, budući da široko kaže: "identificirana fizička osoba je ona koja se može identificirati, izravno ili neizravno", a da ne spominje što je izravna identifikacija i što ona podrazumijeva. Pogledi autora mogli bi vam pomoći da to bolje razumijete.
-
30. kol 20
Identifikacija pojedinca putem osobnih podataka
Kako potvrditi identitet osobe? Koja su načela potvrde identiteta i njihov odnos s autentifikacijom? Kako biti u skladu s GDPR-om, spriječiti krađu identiteta i povrede podataka osobnih informacija? Ovaj blog post sažima neke od tema vezanih uz GDPR koje smo obrađivali na visokoj razini. Ako tek započinjete s GDPR-om u zahtjevnom projektu, nadamo se da naši stavovi mogu učiniti vaše putovanje bržim i ekonomičnijim.
-
14. kol 20
Kako znati je li podatak osobni podatak: izbjegnite početničke greške u vezi s GDPR-om
Koje podatke treba označiti kao osobne podatke i što znači izravno ili neizravno identificiranje pojedinca? Kako prepoznati osobne podatke kada nije očito da bi se podaci trebali tretirati kao osobni i uživati u potpunoj zaštiti prema GDPR-u. Zašto se ne raspravlja više o kontekstu obrade podataka? Neki od naših stavova u ovom blogu mogli bi vas natjerati na razmišljanje.
-
06. kol 20
Cookie pristanak i GDPR - izbjegavajte uobičajene pogreške
Koje podatke treba označiti kao osobne podatke i što znači izravno ili neizravno identificiranje pojedinca? Kako prepoznati osobne podatke kada nije očito da se podaci zapravo trebaju tretirati kao osobni i uživati u potpunoj zaštiti prema GDPR-u. Zašto ljudi manje raspravljaju o kontekstu obrade podataka? Neke od naših gledišta u ovom blogu mogu vas natjerati na razmišljanje.
-
04. kol 20
ISO/IEC 27001 - razumijte naš način razmišljanja
Kada je u pitanju sigurnost informacija, naš je cilj da razumijete naš način razmišljanja. Vjerujemo da ako razumijete kako mi razmišljamo, bolje ćete shvatiti stvarnu važnost pridržavanja standarda ISO 27001 i sve prednosti koje donosi vašem poslovanju.