Od pseudonymizácie k anonymizácii a nie späť

Európski občania majú základné právo na súkromie, preto je dôležité, aby si existenciu tohto práva uvedomovali aj organizácie, ktoré spracúvajú osobné údaje. Pokiaľ sa vykonávajú efektívne, anonymizácia a pseudonymizácia môžu byť použité na ochranu práva na súkromie dotknutých osôb a zároveň umožnia organizáciám vybalansovať toto právo vo vzťahu k ich legitímnym cieľom.

Na to, aby sme mohli zmysluplne hovoriť o anonymizácii a pseudonymizácii je nevyhnutné ujasniť si základné body:

  • Nezvratne a účinne anonymizované údaje nie sú „osobnými údajmi“ a zásady ochrany údajov sa v súvislosti s týmito údajmi nemusia dodržiavať. Pseudonymizované údaje zostávajú osobnými údajmi a aplikujeme na ne požiadavky GDPR.
  • Ak sa zdrojové údaje neodstránia v tom istom čase, keď sa pripravia „anonymizované“ údaje, pričom zdrojové údaje by sa mohli použiť na identifikáciu jednotlivca z „anonymizovaných“ údajov, údaje sa môžu považovať len za „pseudonymizované“, a teda stále „osobné údaje“ podľa príslušných právnych predpisov o ochrane údajov. Zanonymizované budú až po odstránení vstupných dát.
  • Údaje sa môžu považovať za „anonymizované“ z hľadiska ochrany údajov, ak subjekty údajov nie sú identifikované alebo identifikovateľné, so zreteľom na všetky metódy, ktoré prevádzkovateľ alebo akákoľvek iná osoba primerane použije na identifikáciu dotknutej osoby, priamo alebo nepriamo.

Čo sú osobné údaje?

Osobné údaje sú akékoľvek informácie týkajúce sa identifikovaného alebo identifikovateľného jednotlivca. Táto osoba je tiež známa ako „dotknutá osoba“. Identifikovateľný jednotlivec je ten, ktorého možno priamo alebo nepriamo identifikovať, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, údaje o polohe, online identifikátor alebo jeden alebo viac faktorov špecifických pre fyzické, fyziologické, genetické mentálnej, ekonomickej, kultúrnej alebo sociálnej identity tohto jednotlivca.

Vyššie uvedená definícia odráža znenie GDPR a prakticky každého zákona o ochrane osobných údajov v členských štátov EÚ. Údaje o fyzických osobách, ktoré boli anonymizované tak, že z nich nie je možné identifikovať dotknutú osobu ani spolu s niektorými ďalšími informáciami GDPR neupravuje a nepodlieha obmedzeniam spracovania ako osobné údaje.

Čo je to anonymizácia?

„Anonymizácia“ údajov znamená ich spracovanie s cieľom nezvratne zabrániť identifikácii jednotlivca, ktorého sa týka. Údaje sa môžu považovať za efektívne a dostatočne anonymizované, ak sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu alebo ak boli anonymné takým spôsobom, že dotknutá osoba nie je identifikovateľná alebo už nie je identifikovateľná.

V súčasnosti prebieha veľa výskumov v oblasti anonymizácie a znalosti o účinnosti rôznych anonymizačných techník sa neustále menia. Preto nie je možné povedať, že konkrétna technika bude naveky 100% účinná pri ochrane identity dotknutých osôb. O čo sa snažíme je pomoc pri identifikácii a minimalizácii rizík pre dotknuté osoby pri anonymizácii ich osobných údajov. V prípade anonymizácie pod pojmom „identifikácia“ rozumieme možnosť získania napr. mena a adresy osoby, ale aj potenciálnu identifikovateľnosť vyčlenením, prepojením a odvodením.

Čo je to pseudonymizácia?

Pseudonymizácia údajov znamená nahradenie všetkých identifikačných charakteristík údajov pseudonymom, alebo hodnotou, ktorá neumožňuje priamu identifikáciu dotknutej osoby.

GDPR definuje pseudonymizáciu ako spracovanie osobných údajov takým spôsobom, aby sa osobné údaje nemohli ďalej pripisovať konkrétnej dotknutej osobe bez použitia dodatočných informácií za predpokladu, že

  • takéto doplňujúce informácie sú oddelené a
  • prostredníctvom technických a organizačných opatrení je zabezpečené, že osobné údaje nebudú priradené identifikovanému alebo identifikovateľnému jednotlivcovi.

Hoci má pseudonymizácia mnoho spôsobov použitia, poskytuje len obmedzenú ochranu identity dotknutých osôb, lebo stále umožňuje identifikáciu pomocou nepriamych prostriedkov. Tam, kde sa používa pseudonym, je často možné identifikovať dotknutú osobu analýzou podkladových alebo súvisiacich údajov.

Použitie anonymizácie a pseudonymizácie

Údaje, ktoré boli nezvratne anonymizované, prestanú byť „osobnými údajmi“ a spracovanie týchto údajov nevyžaduje dodržiavanie zákona o ochrane osobných údajov. V zásade to znamená, že prevádzkovatelia by ho mohli používať na iné účely, než na ktoré boli pôvodne získané, a že by sa mohli uchovávať na dobu neurčitú.

V niektorých prípadoch nie je možné účinne anonymizovať údaje, či už z dôvodu povahy alebo kontextu údajov, alebo z dôvodu použitia, na ktoré sa údaje zhromažďujú a uchovávajú. Aj za týchto okolností však môžu prevádzkovatelia chcieť použiť techniky anonymizácie alebo pseudononymizácie:

  • ako súčasť stratégie ochrany súkromia už v štádiu návrhu, aby sa zabezpečila lepšia ochrana dotknutých osôb;
  • ako súčasť stratégie minimalizácie rizika pri zdieľaní údajov so sprostredkovateľmi alebo inými prevádzkovateľmi;
  • aby sa zabránilo neúmyselnému porušeniu ochrany údajov, ku ktorému dochádza pri prístupe zamestnancov k osobným údajom;
  • v rámci stratégie „minimalizácie údajov“ zameranej na minimalizáciu rizika porušenia ochrany údajov pre dotknuté osoby.

Aké metódy anonymizácie by sa mali použiť?

Rozhodovanie o vhodnej metóde anonymizácie sa musí robiť od prípadu k prípadu so zreteľom na všetky relevantné rizikové faktory uvedené vyššie a na zamýšľaný účel anonymizovaných údajov. Prevádzkovatelia musia vyvážiť potrebu uchovávať všetky informácie potrebné na účel, na ktorý sa majú anonymizované údaje používať, s identifikačnými rizikami, ktoré predstavuje zahrnutie podrobnejších informácií do súboru údajov. Ak údaje nemožno účinne anonymizovať, musia sa stále považovať za osobné údaje. Legislatíva nepredpisuje žiadnu konkrétnu techniku ​​pre anonymizáciu, takže je na jednotlivých prevádzkovateľoch, aby zabezpečili, že proces anonymizácie, ktorý si zvolia, bude dostatočne silný.

Všeobecne povedané, existujú dve rôzne skupiny techník anonymizácie:

  • znáhodnenie a
  • zovšeobecnenie.

Pri znižovaní rizika identifikácie môžu hrať úlohu aj iné techniky, ako napríklad:

  • maskovanie alebo
  • pseudonymizácia,

ktoré sú zamerané výlučne na odstránenie určitých identifikátorov. V mnohých prípadoch tieto techniky fungujú najlepšie, keď sa používajú spoločne, aby sa bojovalo proti rôznym typom identifikačného rizika.

Znáhodnenie (Randomizácia)

Randomizačné techniky zahŕňajú zmenu údajov s cieľom znížiť prepojenie medzi jednotlivcom a údajmi bez straty hodnoty v údajoch. Tieto typy techník sa môžu použiť, ak pre zamýšľaný účel anonymizovaných údajov nie sú potrebné presné informácie. Randomizačné techniky môžu pomôcť znížiť riziko vyvodzovania z anonymizovaných údajov, ako aj riziko zhody údajov medzi súbormi údajov, pokiaľ iné dostupné súbory údajov nepoužijú rovnaké znáhodnené hodnoty.

Randomizácia môže zahŕňať pridanie „šumu“ alebo náhodných malých zmien do údajov, aby sa obmedzila schopnosť útočníka pripojiť údaje k jednotlivcovi. Napríklad v databáze, ktorá zaznamenáva výšku jednotlivcov, by sa mohli urobiť malé zvýšenia alebo zníženia výšky každého subjektu údajov a údaje sa môžu uvádzať ako presné iba v rozsahu dodatkov a odčítaní. Je dôležité zabezpečiť, aby škála šumu, ktorý sa má pridať, bola v súlade so škálou surových hodnôt, aby tento proces nevytváral výsledky úplne mimo skutočných výsledkov. Napríklad v databáze výšky jednotlivcov, sčítanie alebo odčítanie medzi 1 cm a 10 cm môže dosiahnuť prijateľnú úroveň anonymity, ale pridanie alebo odčítanie 1 m nemusí prinášať užitočné údaje, a mohlo by to v niektorých prípadoch dať jasne najavo, na koho údaj odkazuje.

„Permutácia“ je ďalším typom randomizačnej techniky. To zahŕňa výmenu určitých údajov medzi záznamami jednotlivcov, čo sťažuje identifikáciu jednotlivcov prepojením rôznych informácií, ktoré sa ich týkajú. Napríklad v prípade výšky jednotlivcov sa namiesto pridávania náhodného šumu do dát poprehadzujú hodnoty výšky pre rôznych jednotlivcov, takže už nie sú spojené s inými informáciami o tejto osobe. Toto je užitočné, ak potrebujete zachovať presné rozdelenie hodnôt výšky v anonymizovanej databáze, ale nemusíte si udržiavať korelácie medzi hodnotami výšky a inými informáciami o dotknutých osobách.

Zovšeobecnenie (Generalizácia)

Zovšeobecnenie zahŕňa zníženie granularity údajov, takže sú zverejnené iba menej presné údaje. To znamená zníženie pravdepodobnosti, že jednotlivci môžu byť indentifikovaní, pretože viac ľudí bude zdieľať rovnaké hodnoty. Napríklad databáza, ktorá obsahuje vek subjektov údajov, môže byť upravená tak, aby sa zaznamenalo len to, ktoré pásmo vekov jednotlivec spadá (napr. 18-25, 25-35, 35-45,…).

Táto technika však môže byť slabá, ak údaje, ktoré sú spojené so zovšeobecneným poľom, umožňujú jednotlivcovi, aby sa vybral. Napríklad v databáze môže byť 5 ľudí, ktorí žijú v Bratislave, ale ak je iba jeden z nich vyšší ako 1,9 m, budú identifikovateľní.

Maskovanie

Maskovanie je užitočné pri dopĺňaní ďalších anonymizačných techník. Zahŕňa odstránenie zrejmých alebo priamych osobných identifikátorov z údajov. Nevyhnutným predpokladom anonymizácie je, aby anonymný súbor údajov neobsahoval žiadne priame alebo zjavné identifikátory. Takéto informácie môžu obsahovať mená, adresy alebo obrázky.

Samotné maskovanie často umožňuje veľmi vysoké riziko identifikácie, a preto sa za normálnych okolností nebude považovať za anonymizáciu. Je to preto, že takáto technika by umožnila vidieť všetky pôvodné neodmaskované údaje, čím by sa ohrozilo používanie techník porovnávania údajov na odhalenie identity dotknutej osoby.

Pseudonymizácia ako anonymizačná technika

Ak sa pseudonymizácia používa samostatne, nesie podobné riziká ako maskovanie, pretože väčšina pôvodných, nezmenených údajov bude obsiahnutá v pseudonymizovaných údajoch, a preto by techniky porovnávania údajov mohli identifikovať jednotlivé dotknuté osoby. Ďalšou nevýhodou je, že ak sa pseudonym opätovne použije, umožňuje prepojenie rôznych záznamov týkajúcich sa tej istej osoby, čo by spôsobilo ďalšie identifikačné riziká.

Výhodou pseudonymizácie je však možnosť prepojenia rôznych záznamov týkajúcich sa toho istého jednotlivca bez uloženia priamych identifikátorov do údajov. To je užitočné najmä v dlhodobých štúdiách alebo na iné účely, kde je potrebné prepojiť zber údajov v rôznych časoch týkajúcich sa tej istej dotknutej osoby.

V niektorých prípadoch sa môže kombinovať s inými technikami, aby sa umožnilo prepojenie anonymizovaných údajov s tou istou osobou, avšak ak sa tak stane, musí sa pri každom novom súbore údajov zvážiť, či existuje identifikačné riziko so zreteľom na existujúce anonymizované údaje. Pseudonymizácia by sa nikdy nemala považovať za účinný prostriedok anonymizácie, ale možno ju považovať za opatrenie na zvýšenie bezpečnosti  a na zníženie „prepojiteľnosti“ súboru údajov.

 

Tento článok vychádza z rozsiahlejšieho textu dostupného na webe írskeho komisára na ochranu osobných údajov.

Pridaj komentár