Kişisel Olarak Tanımlanabilir Bilgiler (PII)
Kişisel Olarak Tanımlanabilir Bilgiler (PII) Nedir?
Kişisel olarak tanımlanabilir bilgiler (PII), tek başına veya diğer ilgili verilerle birlikte kullanıldığında bir bireyi tanımlayabilen bilgilerdir.
PII, bir kişiyi benzersiz bir şekilde tanımlayabilen doğrudan tanımlayıcılar (örneğin pasaport bilgileri) veya bir bireyi başarılı bir şekilde tanımak için diğer yarı tanımlayıcılarla (örneğin doğum tarihi) birleştirilebilen yarı tanımlayıcılar (örneğin ırk) içerebilir.
Kişisel Olarak Tanımlanabilir Bilgileri Anlama
Gelişen teknoloji platformları, işletmelerin çalışma şeklini, hükümetlerin yasama şeklini ve bireylerin ilişki kurma şeklini değiştirdi. Cep telefonları, internet, e-ticaret ve sosyal medya gibi dijital araçlarla birlikte her türlü verinin arzında bir patlama yaşandı.
Büyük veri denildiği gibi, işletmeler tarafından toplanmakta, analiz edilmekte, işlenmekte ve diğer şirketlerle paylaşılmaktadır. Büyük veri tarafından sağlanan bilgi zenginliği, şirketlerin müşterilerle nasıl daha iyi etkileşim kurabilecekleri konusunda fikir edinmelerini sağladı.
Bununla birlikte, büyük verilerin ortaya çıkması, bu bilgilerin değerini anlayan kuruluşlar tarafından veri ihlallerinin ve siber saldırıların sayısını da artırdı. Sonuç olarak, şirketlerin tüketicilerinin hassas bilgilerini nasıl ele aldığı konusunda endişeler dile getirildi. Düzenleyici kurumlar, tüketicilerin verilerini korumak için yeni yasalar ararken, kullanıcılar dijital kalmanın daha anonim yollarını arıyor.
Hassas vs. Hassas Olmayan Kişisel Olarak Tanımlanabilir Bilgiler
Hassas PII
Kişisel olarak tanımlanabilir bilgiler (PII) hassas veya hassas olmayabilir. Hassas kişisel bilgiler, aşağıdakiler gibi yasal istatistikleri içerir:
Ad Soyad
Sosyal Güvenlik Numarası (SSN)
Sürücü ehliyeti
Kredi kartı bilgisi
Pasaport bilgileri
finansal bilgi
Tıbbi kayıtlar
Yukarıdaki liste hiçbir şekilde ayrıntılı değildir. Müşterileri hakkında veri paylaşan şirketler normalde kimlik bilgilerini şifrelemek ve gizlemek için anonimleştirme tekniklerini kullanır, bu nedenle kişisel olarak tanımlanabilir olmayan bir biçimde alınır. Müşterilerinin bilgilerini bir pazarlama şirketiyle paylaşan bir sigorta şirketi, verilerde yer alan hassas PII'yi maskeleyecek ve yalnızca pazarlama şirketinin hedefiyle ilgili bilgileri bırakacaktır.
Hassas Olmayan Kişisel Bilgiler
Hassas olmayan veya dolaylı PII'ye telefon rehberleri, İnternet ve şirket rehberleri gibi genel kaynaklardan kolayca erişilebilir. Hassas olmayan veya dolaylı PII örnekleri şunları içerir:
Posta kodu
Yarış
Cinsiyet
Doğum tarihi
Doğum yeri
Din
Yukarıdaki liste, yarı tanımlayıcıları ve kamuya açıklanabilecek hassas olmayan bilgi örneklerini içerir. Bu tür bilgiler, bir bireyin kimliğini belirlemek için tek başına kullanılamaz.
Bununla birlikte, hassas olmayan bilgiler hassas olmasa da bağlanabilir. Bu, hassas olmayan verilerin diğer kişisel bağlanabilir bilgilerle birlikte kullanıldığında bir bireyin kimliğini ortaya çıkarabileceği anlamına gelir. Anonimleştirme ve yeniden tanımlama teknikleri, birden fazla yarı tanımlayıcı grubu bir araya getirildiğinde ve bir kişiyi diğerinden ayırt etmek için kullanılabildiğinde başarılı olma eğilimindedir.
Kişisel olarak tanımlanabilir bilgilerin (PII) düzenlenmesi ve korunması, önümüzdeki yıllarda bireyler, şirketler ve hükümetler için muhtemelen baskın bir konu olacaktır.
Kişisel Olarak Tanımlanabilir Bilgilerin Korunması (PII)
Müşterilerin kişisel bilgilerini toplayan, saklayan ve paylaşan şirketler için yönergeler oluşturmak üzere çeşitli ülkeler tarafından birden fazla veri koruma yasası kabul edilmiştir. Bazı hassas bilgilerin aşırı durumlar dışında toplanmaması gerektiği bu eyalet yasalarında ana hatlarıyla belirtilen temel ilkelerden bazılarıdır.
Ayrıca, düzenleyici yönergeler, belirtilen amaç için artık gerekmediğinde verilerin silinmesini ve kişisel bilgilerin korunmasını garanti edemeyen kaynaklarla paylaşılmamasını şart koşar.
Siber suçlular, daha sonra yeraltı dijital pazarlarında istekli alıcılara satılan PII'ye erişmek için veri sistemlerini ihlal eder. Örneğin, 2015 yılında IRS, yüz binden fazla vergi mükellefinin kişisel bilgilerinin çalınmasına yol açan bir veri ihlali yaşadı.
Failler, birden fazla kaynaktan çalınan yarı bilgileri kullanarak, yalnızca vergi mükelleflerine özel olması gereken kişisel doğrulama sorularını yanıtlayarak bir IRS web sitesi uygulamasına erişebildiler.
Kişisel Bilgilerin Korunması, her zaman bir hizmet sağlayıcının sorumluluğunda olmayabilir. Bazı durumlarda, kişiyle paylaşılabilir.
Tüm Dünyada Kişisel Olarak Tanımlanabilir Bilgiler
PII'nin nelerden oluştuğunun tanımı, dünyanın neresinde yaşadığınıza bağlı olarak farklılık gösterir. Amerika Birleşik Devletleri'nde hükümet, 2020'de "kişisel olarak tanımlanabilir" terimini ad, SSN ve biyometrik bilgiler gibi "bir bireyin kimliğini ayırt etmek veya izlemek için kullanılabilecek" herhangi bir şey olarak tanımladı; tek başına veya doğum tarihi veya doğum yeri gibi diğer tanımlayıcılarla birlikte.
Avrupa Birliği'nde ( AB), tanım , Mayıs 2018'de yürürlüğe giren Genel Veri Koruma Yönetmeliği'nde ( GDPR) belirtildiği gibi yarı tanımlayıcıları içerecek şekilde genişler. GDPR, kişisel verilerin toplanması ve işlenmesi için kurallar belirleyen yasal bir çerçevedir. AB'de yaşayanlar için bilgi.
Kişisel Olarak Tanımlanabilir Bilgiler vs. kişisel veri
Kişisel veriler, PII'den daha geniş bir bağlam yelpazesini kapsar. Örneğin, IP adresiniz, cihaz kimlik numaralarınız, tarayıcı tanımlama bilgileri, çevrimiçi takma adlar veya genetik verileriniz. Din, etnik köken, cinsel yönelim veya tıbbi geçmiş gibi belirli özellikler kişisel veri olarak sınıflandırılabilir ancak kişisel olarak tanımlanabilir bilgiler olarak sınıflandırılamaz.
Kişisel Tanımlanabilir Bilgi Örneği
2018'in başlarında Facebook Inc. (META), şimdi Meta, büyük bir veri ihlaline karıştı. 30 milyon Facebook kullanıcısının profilleri, Cambridge Analytica adlı bir dış şirket tarafından onayları olmadan toplandı. Cambridge Analytica, verilerini Cambridge Üniversitesi'nde çalışan bir araştırmacı aracılığıyla Facebook'tan aldı. Araştırmacı, kişilik testi olan bir Facebook uygulaması geliştirdi. Uygulama, mobil cihazlarda ve web sitelerinde kullanılan bir yazılım uygulamasıdır.
Uygulama, test için verilerine erişim sağlamak için gönüllü olanlardan bilgi almak üzere tasarlandı. Ne yazık ki, uygulama sadece sınava girenlerin verilerini toplamakla kalmadı, Facebook'un sistemindeki bir boşluk nedeniyle, sınava girenlerin arkadaşlarından ve aile üyelerinden de veri toplayabildi.
Sonuç olarak, 50 milyondan fazla Facebook kullanıcısı, verilerini izinleri olmadan Cambridge Analytica'ya maruz bıraktı. Facebook, verilerinin satışını yasaklasa da Cambridge Analytica, siyasi danışmanlık için kullanılacak verileri geri çevirdi ve sattı. Facebook kurucusu ve CEO'su Mark Zuckerberg,. şirketin Q1-2019 kazanç açıklamasında bir açıklama yayınladı:
Sosyal ağların geleceği için gizlilik odaklı vizyonumuzu oluşturmaya ve İnternet'teki önemli sorunları ele almak için işbirliği içinde çalışmaya odaklandık.
Veri ihlali yalnızca Facebook kullanıcılarını değil, yatırımcıları da etkiledi. Facebook'un karı, bir önceki yılın aynı dönemine göre 2019 yılının ilk çeyreğinde %50 azaldı. Şirket, yasal giderlerde 3 milyar dolar tahakkuk etti ve giderler olmasaydı hisse başına kazancı 1.04 dolar daha yüksek olurdu ve şunları belirtti:
Bu konudaki zarar aralığının 3,0 milyar ila 5,0 milyar dolar olduğunu tahmin ediyoruz. Sorun çözülmedi ve herhangi bir nihai sonucun zamanlaması veya şartları konusunda hiçbir güvence verilemez.
Ertesi gün, 25 Nisan 2019'da Meta, platformundan kişilik testlerini yasakladığını duyurdu.
Şirketler, şüphesiz, tüketicilere ürünler sunmak ve karı en üst düzeye çıkarmak için kişisel olarak tanımlanabilir bilgiler (PII) gibi verileri toplamanın yollarına yatırım yapacaktır. Yine de, önümüzdeki yıllarda daha katı düzenlemelerle karşılanacaklar.
##Öne çıkanlar
Kişisel olarak tanımlanabilir hassas olmayan bilgilere herkese açık kaynaklardan kolayca erişilebilir ve posta kodunuzu, ırkınızı, cinsiyetinizi ve doğum tarihinizi içerebilir.
Sosyal medya siteleri hassas olmayan kişisel olarak tanımlanabilir bilgiler olarak kabul edilebilir.
Pasaportlar kişisel olarak tanımlanabilir bilgiler içerir.
Kişisel olarak tanımlanabilir hassas bilgiler, tam adınızı, Sosyal Güvenlik Numaranızı, sürücü belgenizi, mali bilgilerinizi ve tıbbi kayıtlarınızı içerebilir.
Kişisel olarak tanımlanabilir bilgiler (PII), bir bireyin kimliğini doğrulamak için verileri kullanır.
##SSS
Kişisel Bilgiler Ne Değildir?
Kişisel veriler, PII ve çalıştığınız şirket, paylaşılan veriler veya anonimleştirilmiş veriler gibi kişisel olmayan veriler olarak sınıflandırılmaz.
Neler PII olarak nitelendirilir?
Kişisel olarak tanımlanabilir bilgiler ABD hükümeti tarafından şu şekilde tanımlanır: “Bir kişinin kimliğini ayırt etmek veya izlemek için kullanılabilecek, adı, sosyal güvenlik numarası, biyometrik kayıtları vb. bilgiler. tek başına veya doğum tarihi ve yeri, anne kızlık soyadı vb. gibi belirli bir kişiyle bağlantılı veya bağlantılı olabilecek diğer kişisel veya tanımlayıcı bilgilerle birleştirildiğinde.”
Hangi Kanunlar PII'yi Korur?
Çeşitli federal ve eyalet tüketici koruma yasaları, PII'yi korur ve yetkisiz kullanımını onaylar; örneğin, Federal Ticaret Komisyonu Yasası ve 1974 tarihli Gizlilik Yasası.
PII'yi E-postayla Gönderirken Ne Yapmalısınız?
E-posta her zaman güvenli olmadığı için, e-posta ile PII göndermekten kaçınmaya çalışın. Gerekirse, şifreleme veya güvenli doğrulama teknikleri kullanın.
Kimlik Bilgisi İhlali Nedir?
PII ihlalleri yasa dışıdır ve genellikle kimlik hırsızlığı gibi sahtekarlıkları içerir. İhlaller ayrıca yetkisiz erişim, kullanım veya PII'nin ifşa edilmesinden de kaynaklanabilir. Bir PII ihlalinin bildirilmemesi de bir ihlal olabilir.
