I numeri dei dipendenti o dei badge sono PII?

In GDPR o NIST definizioni che conterrebbero informazioni personali identificabili (PII). Tutto ciò che può essere utilizzato per identificare una persona in modo univoco (da solo o in combinazione con altre informazioni) è considerato PII.

In base al riferimento riportato di seguito (dal Department of the Navy CIO), i numeri dei badge sono "Informazioni personali non sensibili". D'altra parte, cose come: nome, cognome da nubile della madre, SSN, ecc. Sono "informazioni personali sensibili".

Presumibilmente, il numero di dipendenti sarebbe anche considerato "PII non sensibili".

Quindi, secondo questo riferimento, i numeri dei dipendenti e dei badge sono "Informazioni personali non sensibili".

link

Se si tratta di GDPR PII - con tutto il rispetto, GDPR è un regime legale, quindi su questi argomenti hai la responsabilità di informare e dare ascolto al consiglio del tuo consulente, e nessun altro, specialmente i randos allo Stack Overflow.

Detto questo, due punti: le mie conversazioni IANAL indicano che questi tipi di numeri NON sono PII nel senso GDPR, per alcune ragioni; ma ancora più importante, mentre è saggio consolidare le informazioni sull'identità, questo non dovrebbe essere necessariamente visto come una strategia per i sistemi di descript per GDPR, come si potrebbe fare per PCI. I dati GDPR non "sanguinano" come fanno i PAN. È molto più un problema di MDM (gestione dei dati master).

GDPR concede diritti alle persone che si applicano DAL RISPETTO che i dati su di loro o di loro proprietà possono risiedere. Non deve trovarsi in una tabella con chiavi esterne in una tabella Utente con campi di nome e cognome. TUTTI i dati OVUNQUE che non avresti avuto il possesso di, se non avessi mai avuto questa persona come dipendente, è potenzialmente in ambito.

Detto questo, le relazioni datore di lavoro-dipendente sono in genere più semplici in GDPR perché ci sono già cicli di vita dei dati attorno all'inserimento e alla partenza dei dipendenti, e i contratti di lavoro in genere hanno un linguaggio intorno a dati come fotografie e dati medici, e ci sono già regole HR intorno a " elaborazione "per eventi come promozioni e rilanci e incarichi e così via. GDPR è più pertinente e urgente per i tuoi dati dei clienti umani.

Torna al problema dell'ID badge / dipendente. Potrebbe esserci un linguaggio specifico per questi tipi di ID nella legislazione del GDPR, non mi ricordo in modo casuale, ma in generale, quegli ID non sono attributi di proprietà dell'essere umano a cui sono assegnati. Si limitano a identificare quell'essere umano nel contesto della tua azienda, e smetterebbero di farlo dopo che l'essere umano ha lasciato il tuo impiego. Quindi, il livello più alto, non PII.

Puoi mantenere il fatto che sono stati assegnati ad un umano dopo le foglie umane, e anche se ti capita di cancellare tutti gli attributi che sono affidati all'essere umano, puoi comunque tenere un record che quegli ID sono stati assegnati una volta a un umano. Che tu sia in grado di mantenere il nome dell'essere umano dopo la sua partenza e in seguito a una richiesta di cancellazione del soggetto- il mio ricordo è che ci sono circostanze in cui devi ancora conservare quei dati per un certo periodo di tempo, ma non i dettagli, che non importa perché io sono solo un rando su SO e non il tuo consiglio. Cheers!

Puoi valutarlo da solo rispondendo alle seguenti domande:

1. I regolamenti specifici di ogni paese / regione ti riguardano? (Legge sulla privacy di GDPR / USA / etc)
2. Stai utilizzando il numero del dipendente come nome utente per accedere a qualsiasi sistema della tua organizzazione (ho visto che è comune in molte organizzazioni)?

Se la risposta a uno di questi è "Sì", il numero di dipendenti è sicuramente un PII.