Kje se pojavijo notranje ID-je zaposlenih
Notranji ID-ji zaposlenih so bolj pogosti kot ljudje mislijo. Vsaka srednje velika ali velika podjetja ima sistem:
- Naslovna naslova: name@company.com ali name+EMP001@company.com
- Spletne oblike: Vnos ID v aplikacijskih oblikah
- Dokumenti: Word datoteke, PowerPoint prezentacije, e-tabele s stolpcem "EmployeeID"
- Časovni sistem: Prijave za izhod/redno delo
- Notranji portal: Portal za zaposlene
- Računi: Interna števila pogledov Salesforce, Jira, Azure AD
- Porabe: Računi za čas, potovanje, potnik
Razlika od SSN ali drugega javnega PII je ta, da je ta ID skupni vsakemu delavcu, vendar je notranji - le razpoložljiv interno. Podjetje to izreka kot: "To je naš podatek, zato je v redu ga imeti na neobdelanem papirju, ker je notranje." Toda v realnosti je to še vedno PII v smislu GDPR:
- Identifikacija: Če ste Martin in imate ID EMP00456, lahko vas nekdo identificira
- Povezanost: ID je povezan z drugo naštvovano osebno spletko
- Neuspešnost zasebnosti: Razkritje teh podatkov omogoči napade
GDPR implikacije
V okviru GDPR je osebni podatek kateri koli podatek, ki se nanaša na navedeno osebo. Notranji zaposleni ID je osebni podatek:
- Artikel 4(1): "Osebni podatek" je vsak podatek, ki se nanaša na navedeno fizično osebo
- Recital 26: Načelo "spremenljivosti" - če so podatki preslabe individualiziacijski, je to le podatki
- Artikel 32(1)(a): Zahtevki za tehnične in organizacijske ukrepe za zaščito podatkov
Kjer je problem: S potnim listom, SSN ali kartičko zdravstvenega zavarovanja obstaja jasna norma. Vendar pa za notranje ID-je vrsta reda niza zakonodaje ne drži. Nemški regulator BfDI (Bundesdatenschutzbeamte) je v svojem izvještaju iz leta 2023 poudaril, da so prav interno generirani ID-ji jedro varnostnih incidentov, ker jih ljudje ne jemajo resno.