¿Los números de identificación o de empleado son PII?

Bajo GDPR o NIST definiciones, esto contaría como información de identificación personal (PII). Cualquier cosa que pueda usarse para identificar a una persona de manera única (por sí misma o junto con otra información) se considera PII.

Según la referencia a continuación (del CIO del Departamento de la Armada), los números de identificación son "PII no sensibles". Por otro lado, cosas como: nombre, apellido de soltera de la madre, SSN, etc. son "PII sensibles".

Presumiblemente, el número de empleado también se consideraría "PII no sensible".

Por lo tanto, de acuerdo con esta referencia, los números de empleados y distintivos son "PII no sensibles".

enlace

Si se trata de GDPR PII: con todo respeto, GDPR es un régimen legal, por lo que en estos temas tiene la responsabilidad de informar y prestar atención al consejo de su abogado, y a nadie más, especialmente a los randos de Stack Overflow.

Dicho esto, dos puntos: mis conversaciones IANAL indican que este tipo de números NO son PII en el sentido GDPR, por algunas razones; pero, lo que es más importante, si bien es aconsejable consolidar la información de identidad, esto no debe considerarse necesariamente como una estrategia para los sistemas de desconexión de GDPR, la forma en que se podría hacer para PCI. Los datos GDPR no "sangran" como lo hacen los PAN. Es mucho más de un tipo de problema MDM (gestión de datos maestros).

GDPR otorga derechos a las personas que aplican DONDE DONDE puedan residir los datos sobre ellos o de su propiedad. No tiene que estar en una tabla con claves externas en una tabla de Usuario con los campos de nombre y apellido. CUALQUIER dato EN CUALQUIER LUGAR del cual no hubiera tenido posesión, si nunca hubiera tenido a esta persona como empleado, potencialmente está dentro del alcance.

Dicho esto, las relaciones entre empleadores y empleados son generalmente más directas bajo GDPR porque ya existen ciclos de vida de los datos en torno a la incorporación y salida de los empleados, y los contratos de empleo generalmente tienen lenguaje en torno a datos como fotografías y datos médicos, y ya existen reglas de Recursos Humanos en torno a " procesamiento "para eventos como promociones y aumentos y asignaciones y así sucesivamente. GDPR es más relevante y urgente para los datos de sus clientes humanos.

Volver al problema de identificación de credencial / empleado. Puede que haya un lenguaje específico para este tipo de identificaciones en la legislación de GDPR, no lo recuerdo de antemano, pero en general, esas identificaciones no son atributos que pertenecen al ser humano al que están asignadas. Simplemente identifican a ese humano en el contexto de su compañía, y dejarían de hacerlo después de que ese humano dejara su empleo. Por lo tanto, el nivel superior, no PII.

Puede conservar el hecho de que fueron asignados a un ser humano después de que el ser humano se haya ido, e incluso si borra todos los atributos que están bajo la custodia del ser humano, aún puede mantener un registro al que una vez se asignaron esas ID. un humano. Ya sea que pueda conservar el nombre del ser humano después de su partida y después de una solicitud de eliminación de tema, mi recuerdo es que existen circunstancias en las que aún debe conservar esa información durante un período de tiempo, pero no los detalles, lo que no importa porque solo soy un rando de SO y no tu consejo. ¡Salud!

Puede evaluarlo usted mismo respondiendo las siguientes preguntas:

1. ¿Le afectan las regulaciones específicas de su país / región? (GDPR / USA Privacy Law / etc)
2. ¿Está utilizando el número de empleado como nombre de usuario para iniciar sesión en los sistemas de su organización (he visto que esto es algo común en muchas organizaciones)?

Si la respuesta a cualquiera de estos es 'Sí', definitivamente el número de empleado es una PII.