Anonymizácia, pseudonymizácia a šifrovanie osobných údajov podľa GDPR

Anonymizace

Anonymisation. Pseudonymization. Encryption

Niekoľko anglických slov gréckeho pôvodu, ktoré sa budú vďaka GDPR v niekoľkých nasledujúcich mesiacoch používať stále častejšie. Ako ich pochopiť, prečo je dôležité sa vyvarovať ich zámene a aké je ich využitie pri implementácii nariadenia, vysvetlíme v tomto príspevku.

Prečo hľadať rozdiely

Už pred prijatím GDPR platilo, že regulácia ochrany osobných údajov sa nevzťahuje na anonymizované údaje, tzn. údaje, na základe ktorých, už subjekt údajov nie je GDPR sa však v plnom rozsahu uplatní pre spracúvanie pseudonymizovaných či anonymizovaných údajov.

S veľkou pravdepodobnosťou vás preto bude zaujímať, či pri svojich spracovateľských činnostiach dokážete namiesto údajov umožňujúcich identifikáciu konkrétnej fyzickej osoby využiť výhradne anonymizované údaje a vyhnúť sa tak záplave súvisiacich povinností. To, že skutočne pracujete s anonymizovanými údajmi, je dôležité spoľahlivo overiť. Inak by ste čoskoro mohli čeliť nepríjemnému prekvapeniu s možnými nákladnými následkami.

Teória podľa GDPR

Stručné vysvetlenie pojmov:

Anonymizácia je proces, pri ktorom sa z dátového súboru nevratne odstránia všetky osobné údaje, bez možnosti spätnej identifikácie konkrétnej fyzickej osoby. Anonymizovaný súbor nielen neobsahuje žiadne údaje o fyzických osobách alebo identifikátory (ako je po novom napr. aj IP adresa alebo lokalizačné údaje3), ale tiež vylučuje možnosť opätovného, ​​resp. spätného prepojenia takýchto údajov s konkrétnou osobou. Takto upravený súbor údajov je možné využiť bez uplatnenia nariadení GDPR.

Pseudonymizácia môže v praxi predstavovať veľmi podobný proces, pri ktorom sa však osobné údaje v súbore odstránia, prípadne len nahradia, a to takým spôsobom, že identifikácia konkrétnej fyzickej osoby bude po priradení dodatočných údajov možná4. Pojmovo teda nejde o nezvratný proces, ale len o dočasné funkčné oddelenie určitého "podsúboru údajov" od ostatných údajov, ktoré spolu identifikáciu umožňujú. Náročnosť tohto procesu bude v praxi závisieť od množstva a typu spracovaných osobných údajov, technického spôsobu, akým sú spracúvané a mnohých ďalších faktorov. V niektorých prípadoch môže napríklad stačiť zmazať prvý stĺpec pomyselnej tabuľky, v iných prípadoch bude nutný zložitejšie algoritmus a pokročilé softvérové ​​nástroje. GDPR túto techniku ​​uznáva ako jedno z možných technických opatrení na zaistenie ochrany a bezpečnosti osobných údajov.

Šifrovanie je podľa GDPR možné definovať ako metódu, na základe ktorej sa z osobných údajov stanú údaje "nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup,"5 t.j. pre všetky osoby, ktoré nemajú k dispozícii príslušné prístupové kľúče. Podobne ako u pseudonymizácie sa jedná z pohľadu GDPR o vhodné technické opatrenia na zvýšenie bezpečnosti pri spracúvaní osobných údajov. Problémom tejto metódy je však znížená využiteľnosť zabezpečených údajov, pretože šifrované údaje nie je možné napr. prehľadávať alebo podobným spôsobom ďalej spracovávať bez ich predchádzajúceho odšifrovania.

Anonymita ako technologická otázka

Ako sme vyššie uviedli, anonymizácia údajov priamo súvisí s identifikovateľnosťou konkrétneho človeka. Teoretická možnosť identifikácie fyzickej osoby je však v čase, keď nás na každom kroku sledujú satelity, senzory a čipy našich inteligentných zariadení, pomerne kontroverzným bodom pre diskusiu.

V odborných kruhoch sa dlhodobo vedú debaty o tom, či dokonalá anonymizácia nie je v prostredí "big data" skôr utopická predstava. Tieto názory sa objavujú v reakcii na úspešné pokusy deidentifikovať konkrétne fyzické osoby z údajne anonymných súborov telekomunikačných údajov, údajov o platobných kartách či údajov z rôznych sociologických výskumov6. Ďalej tiež údaje, ktoré sa dnes možno tvária ako anonymné, by budúce technológie mohli byť schopné priradiť ku konkrétnej osobe, spojiť ich s inými údajmi a docieliť tak presne to, čomu sa regulácia snaží zabrániť. Pre predstavu je možné využiť jednoduchú portrétovú fotografiu. Tá vám kedysi sama o sebe neumožnila odhaliť konkrétnu fyzickú osobu, ale dnes vďaka funkciám "face detection", viete bez problémov priradiť fotografiu k profilu na sociálnych sieťach či k webu zamestnávateľa.

Aby bola celá diskusia ešte zložitejšie, konzervatívnejší výklad doterajšej legislatívy nasvedčoval tomu, že ak existuje akékoľvek teoretické riziko spätného odhalenia konkrétnej fyzickej osoby, o anonymizované údaje sa nejedná. Zdá sa, že GDPR reaguje na sťažnosti trhu, že tento výklad ide za hranicu technologických možností a hľadá schodnejšie riešenia. V recitáloch sa zavádza kritérium "primeranej pravdepodobnosti", ktoré má vziať do úvahy "(...) objektívne faktory, ako sú náklady a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj."

V prospech tohto výkladu hovorí aj nedávno publikovaná metodika britského Information Commissioner's Office s názvom Anonymisation: managing data protection risk code of practice7, ktoré výslovne uvádza, že 100% anonymizácia je síce ideálna, nie je však absolútne nutným riešením, ak je riziko potencionálnej deidentifikácie možné vnímať ako "vzdialené".

Vyššie uvedená metodika obsahuje niekoľko odporúčaných metód a testov pre overenie jej spoľahlivosti. Okrem jej praktickej implementácie a pravidelnej kontroly spoľahlivosti je možné odporučiť aj písomné zmapovanie celého procesu, ktoré by sa malo stať súčasťou internej dokumentácie týkajúcej sa ochrany osobných údajov v rámci spoločnosti alebo organizácie na účely prípadnej kontroly zo strany dozorného úradu. V prípadoch, keď je prevádzkovateľ podľa GDPR povinný vykonať tzv. posúdenie vplyvu na ochranu osobných údajov (tzv. "DPIA"), posúdenie spoľahlivosti využitej metódy by malo byť tiež jeho súčasťou.

Kľúčová pseudonymizácia

Na základe vyššie uvedeného je možné zhrnúť, že spracúvanie výhradne anonymizovaných osobných údajov, bude v praxi pomerne vzácne. Oproti tomu šifrovanie je technologicky pomerne náročné a jeho využiteľnosť je obmedzená.

Dá sa preto povedať, že pre každodenné účely bude kľúčovým pojmom práve pseudonymizácia. Hlavné uplatnenie by mohla nájsť pri prenose údajov medzi prevádzkovateľom a sprostredkovateľom (resp. správcom a spracúvateľom - pre tých, ktorým sa tieto pojmy zdajú zrozumiteľnejšie). V prípadoch, keď dodávateľ dokáže svoje zmluvné povinnosti splniť bez spracúvania skutočných osobných údajov, mali by mu byť v súlade so zásadou minimalizácie poskytnuté pseudonymizované údaje. Je tiež užitočné z pohľadu niektorých interných procesov, najmenej vo vzťahu k agende oddelenia ľudských zdrojov a financií, resp. účtovníctva, ku ktorým by v plnom rozsahu mali mať prístup len vybraní pracovníci podľa ich funkcie. Takýto postup značne znižuje riziká spojené s odovzdávaním údajov inej osobe a pomôže preukázať, že spoločnosť si na ochrane spracúvaných údajov naozaj zakladá.


  1. Recitál 26 Směrnice 95/46/ES
  2. Taktéž Recitál 26 Nařízení
  3. Recitál 30 Nařízení
  4. Recitál 26 Nařízení
  5. Článek 34 odst. 3 písm. a) Nařízení
  6. Viz napr. Boer Deng: People identified through credit-card use alone, dostupné z http://www.nature.com/news/people-identified-through-credit-card-use-alone-1.16817 ; Adam Tanner: Harvard Professor Re-Identifies Anonymous Volunteers In DNA Study, dostupné z https://www.forbes.com/sites/adamtanner/2013/04/25/harvard-professor-re-identifies-anonymous-volunteers-in-dna-study/#6c48dd9a92c9
  7. Dostupné z https://ico.org.uk/media/1061/anonymisation-code.pdf