Il genere è considerato PII (Personal Identifiable Information) sotto il GDPR?

19

Dal momento che GDPR sta scuotendo tutto al momento sto lavorando su alcune modifiche al nostro sito web / processo.

Lavoro in eCommerce in UX (con sede nel Regno Unito) e supporto team di marketing con determinate attività.

La mia domanda è, il sesso di un individuo conta come PII?

Archiviamo il genere in un livello dati come una variabile JavaScript che è contenuta all'interno della nostra azienda, quindi possiamo scegliere di passare queste variabili attraverso una piattaforma di test per indirizzare gli individui in base alla presenza di queste variabili. Dato che non sono una persona di tipo legale / di dati, non sono sicuro al 100% se conservando e avendo i mezzi per passare il genere di una persona (tratto dalle informazioni che otteniamo quando creano un account con noi) a una terza parte, stiamo violando qualsiasi tipo di accordo sulla sicurezza delle informazioni?

Se questo dipende dalle norme aziendali ecc., fammelo sapere e chiuderò la domanda perché non è proprio qui.

    
posta sclarke 17.05.2018 - 13:22
fonte

2 risposte

22

La definizione di dati personali come menzionato nel GDPR:

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Come affermi che usi la presenza della variabile per colpire individui, il genere ha sicuramente un riferimento indiretto all'identità di qualcuno e come tale, sono dati personali. Tuttavia, ciò non significa che devi interrompere l'elaborazione del genere nel contesto che hai descritto.

Da una prospettiva di rischio (che è ciò che è il GDPR), non vedo un problema se si condivide solo il genere - che in realtà è pseudonimizzato poiché non si forniscono altri dati di identificazione diretta insieme a esso .

Tuttavia, hai altri obblighi w.r.t. il principio di trasparenza, incorporando l'attività di elaborazione nel registro di elaborazione, determinando il motivo giuridico per l'elaborazione (e agendo di conseguenza), determinando la relazione tra il responsabile del processore e la terza parte e includendo le clausole necessarie nel contratto, ecc. Per determinare tutto ciò, sono richieste molte più informazioni di quelle che hai fornito nella tua domanda e consiglio vivamente di cercare una consulenza professionale (legale) per supportarti in questa materia.

    
risposta data 17.05.2018 - 14:18
fonte
8

TLDR: Possibile

Da link :

The following are examples of “potentially personally-identifiable information”. That is, the data elements by themselves cannot be linked to a specific person but when combined with other information (such as items 1 through 11, above), they can be.

  1. A persistent identifier such as a generic customer/user value held in a “cookie”
  2. IP (Internet Protocol) address or host name
  3. Date of birth, age
  4. Racial or ethnic background
  5. Religious affiliation
  6. Gender
  7. Height, weight
  8. Marital status
  9. Employment information
  10. Medical information
  11. Financial information
  12. Credit information
  13. Student information

Depending on a site visitor’s browser settings, cookies (item 12), which are small text files, are stored on the visitor’s local drive and transmitted between their browser and the servers hosting the sites visited.

The point here is, as standalone information, these data elements are not PII. They have the potential to be PII. They become PII when they are combined with other more specific data which, in total, identifies a specific person.

For example, a full blown credit report without a link to a specific individual is not PII. It’s simply anonymous credit information. However, even though a credit report might not have a person’s first and last name, if it includes enough information to identify to a particular person (i.e. date of birth + gender + ethnicity + zip code + IP address), it fits the definition of PII.

    
risposta data 17.05.2018 - 13:35
fonte

Leggi altre domande sui tag