I numeri dei dipendenti o dei badge sono PII?

3

Stiamo valutando l'implementazione di un sistema Identity Management / Lifecycle. Stiamo cercando di aggregare tutta la nostra autenticazione in questo sistema. Tuttavia, un'area di interesse è costituita dai dipendenti con lo stesso nome, pertanto stiamo implementando un numero di dipendente e un numero di badge per differenziare i dipendenti e autenticarli in modo appropriato.

Si ritiene che questi numeri siano PII, quindi memorizzarli per riferimenti incrociati in qualsiasi altro sistema causerà la caduta di tale sistema nei regolamenti PII.

I numeri dei dipendenti o dei badge sono considerati PII?

Modifica per chiarimenti Questo è principalmente legato alla direttiva sulla privacy DOE O 206.1 e non al GDPR. Tuttavia, questo è leggermente più generale in quanto avevo argomenti simili in passato.

Il problema che sto affrontando - un po 'esagerato - è che tutti quelli che conosco pensano che qualsiasi cosa fare con chiunque sia considerato PII. Pertanto ogni sistema deve essere regolato.

    
posta Nathan Goings 10.07.2018 - 18:54
fonte

4 risposte

2

In GDPR o NIST definizioni che conterrebbero informazioni personali identificabili (PII). Tutto ciò che può essere utilizzato per identificare una persona in modo univoco (da solo o in combinazione con altre informazioni) è considerato PII.

    
risposta data 10.07.2018 - 19:49
fonte
1

In base al riferimento riportato di seguito (dal Department of the Navy CIO), i numeri dei badge sono "Informazioni personali non sensibili". D'altra parte, cose come: nome, cognome da nubile della madre, SSN, ecc. Sono "informazioni personali sensibili".

Presumibilmente, il numero di dipendenti sarebbe anche considerato "PII non sensibili".

Quindi, secondo questo riferimento, i numeri dei dipendenti e dei badge sono "Informazioni personali non sensibili".

link

    
risposta data 11.07.2018 - 00:57
fonte
0

Se si tratta di GDPR PII - con tutto il rispetto, GDPR è un regime legale, quindi su questi argomenti hai la responsabilità di informare e dare ascolto al consiglio del tuo consulente, e nessun altro, specialmente i randos allo Stack Overflow.

Detto questo, due punti: le mie conversazioni IANAL indicano che questi tipi di numeri NON sono PII nel senso GDPR, per alcune ragioni; ma ancora più importante, mentre è saggio consolidare le informazioni sull'identità, questo non dovrebbe essere necessariamente visto come una strategia per i sistemi di descript per GDPR, come si potrebbe fare per PCI. I dati GDPR non "sanguinano" come fanno i PAN. È molto più un problema di MDM (gestione dei dati master).

GDPR concede diritti alle persone che si applicano DAL RISPETTO che i dati su di loro o di loro proprietà possono risiedere. Non deve trovarsi in una tabella con chiavi esterne in una tabella Utente con campi di nome e cognome. TUTTI i dati OVUNQUE che non avresti avuto il possesso di, se non avessi mai avuto questa persona come dipendente, è potenzialmente in ambito.

Detto questo, le relazioni datore di lavoro-dipendente sono in genere più semplici in GDPR perché ci sono già cicli di vita dei dati attorno all'inserimento e alla partenza dei dipendenti, e i contratti di lavoro in genere hanno un linguaggio intorno a dati come fotografie e dati medici, e ci sono già regole HR intorno a " elaborazione "per eventi come promozioni e rilanci e incarichi e così via. GDPR è più pertinente e urgente per i tuoi dati dei clienti umani.

Torna al problema dell'ID badge / dipendente. Potrebbe esserci un linguaggio specifico per questi tipi di ID nella legislazione del GDPR, non mi ricordo in modo casuale, ma in generale, quegli ID non sono attributi di proprietà dell'essere umano a cui sono assegnati. Si limitano a identificare quell'essere umano nel contesto della tua azienda, e smetterebbero di farlo dopo che l'essere umano ha lasciato il tuo impiego. Quindi, il livello più alto, non PII.

Puoi mantenere il fatto che sono stati assegnati ad un umano dopo le foglie umane, e anche se ti capita di cancellare tutti gli attributi che sono affidati all'essere umano, puoi comunque tenere un record che quegli ID sono stati assegnati una volta a un umano. Che tu sia in grado di mantenere il nome dell'essere umano dopo la sua partenza e in seguito a una richiesta di cancellazione del soggetto- il mio ricordo è che ci sono circostanze in cui devi ancora conservare quei dati per un certo periodo di tempo, ma non i dettagli, che non importa perché io sono solo un rando su SO e non il tuo consiglio. Cheers!

    
risposta data 10.07.2018 - 23:22
fonte
0

Puoi valutarlo da solo rispondendo alle seguenti domande:

  1. I regolamenti specifici di ogni paese / regione ti riguardano? (Legge sulla privacy di GDPR / USA / etc)
  2. Stai utilizzando il numero del dipendente come nome utente per accedere a qualsiasi sistema della tua organizzazione (ho visto che è comune in molte organizzazioni)?

Se la risposta a uno di questi è "Sì", il numero di dipendenti è sicuramente un PII.

    
risposta data 11.07.2018 - 02:04
fonte

Leggi altre domande sui tag