Die EDPB se 2025 Handhawingsaksie
Die European Data Protection Board se 2025 Coordinated Enforcement Framework (CEF) het aksie op GDPR Artikel 17 — die reg tot uitwissing — gemik. Twee-en-dertig Databeskermingsowerhede oor die EU en EEA het gelyktydig ondersoek hoe organisasies op reg-tot-uitwissing-versoeke reageer. Die gekoördineerde benadering is ontwerp om sistematiese foute eerder as individuele buitengewone gevalle te identifiseer.
Die bevindinge het sewe herhalende naalevinghulpbehoeftes oor alle DPA's geïdentifiseer. Wat opvallend is, is die verwarring tussen anonimisering en pseudonimisering as 'n "alternatiewe" metode vir uitwissing.
Bevinding 1: Anonimisering as 'n Uitwissingsvervanger
Die EDPB het 'n spesifieke bevinding gemaak: Sommige organisasies het argue dat data kon "anonimiseer" word in plaas van dit uit te wis. Die standpunt was dat anonimisering — data verwerk sodat dit nie meer aan 'n individu gekoppel kan word nie — voldoen aan die reg tot uitwissing, want die Grondwetgewer het nie daarvoor vra dat persoonlike data verwyder word nie, net dat dit nie meer persoonlike data is nie.
Die EDPB het hierdie tolk afgekeur. Die reg tot uitwissing, soos voorgeskryf in Artikel 17, beteken dat die individu kan vereis dat hul persoonlike data "verwyder" word — met ander woorde, uit die aktiewe databesture van die organisasie uitgewis. Anonimisering laat die data in die sisteme, net in 'n vorm wat nie meer aan die individu gekoppel kan word nie. Dit is nie dieselfde as uitwissing nie.
Anonimisering se Juridieke Insinking
Die bevinding het twee juridieke stellings:
Stelling 1: Ware anonimisering (data wat onherroeplik ontkoppel is) voeg data uit GDPR-bestek uit — dit is nie langer persoonlike data nie, en GDPR Artikel 17 het nie op anonimiseerde data van toepassing nie.
Stelling 2: Pseudonimisering (data wat ontkoppel is, maar gekoppel kan word met bykomende inligting) is 'n vorm van verwerking wat GDPR Artikel 4(11) behels. Dit voldoen nie aan Artikel 17 (reg tot uitwissing) nie, want die data is nog steeds persoonlike data onder GDPR — dit kan bloot net onmiddellik aan die individu gekoppel word sonder addisionele inligting.
Die onderskeid is noodsaaklik: organisasies kan nie kleim dat pseudonimisering (tabel-opsoekings, enkripsie met berader sleutels, hash-opvolgingsverbindings) Artikel 17-verbintenisse voldoen nie.
Verdere EDPB Handhawingsvindings
Die 2025 CEF het ses verdere herhalende naalevinghulpbehoeftes geïdentifiseer:
Bevinding 2 — Geen dokumentasie van Anonimiseringsmetode: Organisasies het anonimisering geclaimd sonder om dokumentasie van die tegniese metode, kontroles of validering te lewer. Artikel 5(2) vra dat organisasies kan demonstreer dat verwerking nalewig is ("accountability"). "Ons het dit anonimiseer" is nie dokumentasie nie — die organisasie moet beskryf hoe, met watter tegnieke, en met watter validering.
Bevinding 3 — Keine Revalidering na Anonimiserhing: 'n Enkele anonimiseringskweyt kan nie voor ewige geld vir anonimisering voldoen nie. Organisasies moet hervalidering voer om te verseker dat, oor tyd, nuwe data-koppelingsmoglikhede nie 'n heridentifisering-risiko skep nie. Dit was veral problematies vir organisasies wat pseudonimisering geclaimd het but enige re-validering uitgesluit het.
Bevinding 4 — Samento-data-Koppeling: Organisasies het anonimisering in 'n enkele datastel geclaimd (bv. maskeringstabeldata), aber data uit ander bronne (logboeke, transaksies, derde-party bronne) kon ontvangers verder identifiseer. Dit is 'n probleem wat "kombinatiewe identifiseringsrisiko" genoem word.
Bevinding 5 — Uitwissingversoeke in Pseudonimiseerde Data: Talle organisasies het geclaimd dat hulle sogenaamde "uitgewiste" data kon lewer sonder dat individue identifiseer kon word, deur die pseudonimiseringssleutel uit te wis. Maar die pseudonimiseerde data self is nog steeds in die sisteem, en die individu het die reg om te kontroleer wat WARE anonimisering is, nie wat organisasies als "goed genoeg" ag nie.
Bevinding 6 — Eenheidregisters Insluiting: 'n Aantal organisasies hou "enheidsregisters" (databases van pseudonimiseringssleutels of heridentifiserings-inligting) sonder addisionele toegangskontroles. Dit ondermijn die anonimiseringswaarde: as die enheidsregister gekompromitteer word, word al die pseudonimiseerde data onmiddellik geheridentifiseer.
Bevinding 7 — Insousse-Navorsingsanonimisering: Navorsingsorganisasies het anonimisering geclaimd vir data wat aan versoekekundiges binne die organisasie as pseudoniem voorgestel is. Artikel 17 se onderwerp vra dat data uit die "datasisteme" van die verantwoordelike uitgewis word — navorserstoegang is nie 'n hereken vir anonimisering nie.
Handhawingsdynamiek en Boetepatrone
Antwoordbehoeftes op die EDPB se 2025 CEF is nog nie afgesluit nie, aber vorige handhawingsaksies dui aan dat boetedrempels oor Artikel 17-skeidiging hoog is:
- Amazon EU S.à.r.L. (2021) — €746 miljoen vir onverklaarbare dataverwerkingsfalings wat Artikel 17-plighte het ingesluit
- Meta Platforms Ireland Limited (2023) — €405 miljoen vir GDPR-sekerheidsfoute wat Artikel 17-verwerkingsprobleme het ingesluit
'n Organisasie wat Artikel 17-versoeke na wete behandel en dokumentasie-falings ondergaan, kan vervolgings vir boetes van 4% van globale jaarlikse omset wees.
Aanbevole Handhawingbereide
Deurdat onderstellings gekoördineer word:
- Anonimiseringtegnieke registreer: Dokumenteer elke tegniek, die parameters, die validseringsmeer, en die datumresultate.
- Re-validering skedule: 'n Jaarlikse hervalidering aan ten minste die eerste twee jaar, met verdere hervalideringe as nuwe identifiseringsbronbate toon.
- Enheidssleutel-beskerming: Pseudonimiseringssleutels en heridentifiserings-enheidsregisters moet in 'n aparte, versleutelde omgewing aangehou word.
- Artikel 17-versoek-proses: Implementeer 'n proses dat versoeke om uitwissing sonder vertraging verwerk, en Artikel 13-notisies aan data-onderwerpe voorsien.
- DPIA-dokumentasie: Geleio op anonimisering of pseudonimisering — voer 'n DPIA out Artikel 35 om die tegnieke en kontroles en identifiseringsrisiko's te dokumente.