web-dev-qa-db-ja.com

GDPRでは、性別はPII(個人識別情報)と見なされますか?

GDPRがすべてを揺さぶるので、私はWebサイト/プロセスのいくつかの変更に取り組んでいます。

私はUX(英国ベース)のeコマースで働いており、特定の活動でマーケティングチームをサポートしています。

私の質問は、個人の性別はPIIとしてカウントされますか?

性別をデータレイヤーにJavaScript変数として格納し、それを自社のビジネス内で保持します。次に、これらの変数をテストプラットフォームに渡して、これらの変数の存在に基づいて個人をターゲットにすることを選択できます。私は法的/データタイプの人間ではないので、個人の性別(私たちのアカウントを作成したときに取得した情報から引き出されたもの)を保存して第三者に渡す手段があるかどうかは、100%わかりません。何らかの情報セキュリティ契約に違反していますか?

これが会社の方針などにかかっている場合は、私に知らせてください。質問はここでは特に取り上げていないため、終了します。

gdprpii
19
sclarke

GDPRで言及されている個人データの定義:

「個人データ」とは、識別された、または識別可能な自然人(「データ主体」)に関するあらゆる情報を意味します。識別可能な自然人とは、特に名前、識別番号、場所データ、オンライン識別子、または1つ以上の要素などの識別子を参照して、直接または間接的にで識別できる人その自然人の身体的、生理学的、遺伝的、精神的、経済的、文化的または社会的アイデンティティに固有のもの;

変数の存在を使用して個人をターゲティングすると述べているように、性別は間違いなく誰かのアイデンティティへの間接的な参照を持っているため、個人データです。ただし、これは、説明したコンテキストで性別の処理を停止する必要があるという意味ではありません。

リスクの観点(GDPRの概要)では、性別のみを共有している場合は問題が発生しません。これは、他の直接の識別データを一緒に提供しないため、実際には偽名です。

ただし、あなたには他の義務があります w.r.t.透明性の原則、処理アクティビティを処理レジスタに組み込む、処理の法的根拠を決定する(それに応じて行動する)、サードパーティとのプロセッサとコントローラの関係を決定する、契約に必要な条項を含めるなど、これをすべて決定するには、質問で提供した情報よりもはるかに多くの情報が必要です。この問題についてサポートするために、(法的な)専門家の助言を求めることを強くお勧めします。

22
Stef Heylen

TLDR:可能

https://www.seobyrvc.com/what-is-personally-identifiable-information-pii/ から:

潜在的に個人を特定できる情報」の例を次に示します。つまり、データ要素自体は特定の人物にリンクすることはできませんが、他の情報(上記のアイテム1〜11など)と組み合わせるとリンクできます。

  1. 「Cookie」に保持される一般的な顧客/ユーザー値などの永続的な識別子
  2. IP(インターネットプロトコル)アドレスまたはホスト名
  3. 生年月日、年齢
  4. 人種的または民族的背景
  5. 宗教
  6. 性別
  7. 身長体重
  8. 配偶者の有無
  9. 雇用情報
  10. 医療情報
  11. 財務情報
  12. 信用情報
  13. 学生情報

サイトの訪問者のブラウザー設定に応じて、Cookie(アイテム12)は小さなテキストファイルで、訪問者のローカルドライブに保存され、ブラウザーと訪問したサイトをホストするサーバーの間で送信されます。

ここでのポイントは、スタンドアロン情報として、これらのデータ要素はPIIではありません。 PIIになる可能性があります。全体として特定の個人を識別する他のより具体的なデータと組み合わせると、PIIになります。

たとえば、特定の個人へのリンクがない完全な信用報告書はPIIではありません。それは単に匿名の信用情報です。ただし、信用報告書に人の姓名がない場合でも、特定の人を特定するのに十分な情報(生年月日+性別+民族+郵便番号+ IPアドレス)が含まれている場合は、次の定義に適合します。 PII。

8
toom