Пояснение на EDPB от януари 2025 г
Насоки 01/2025 относно псевдонимизирането на Европейския съвет за защита на данните, публикувани през януари 2025 г., въведоха няколко разяснения със значителни последици за съответствието за организациите, използващи инструменти за анонимизиране на данни.
Най-същественото пояснение: насоките въвеждат концепцията за „домейн за псевдонимизиране“ — набор от страни, за които псевдонимизираните данни остават свързани с реални лица. Псевдонимизираните данни са лични данни съгласно GDPR за всяка страна в домейна за псевдонимизация (страни, които притежават ключа за псевдонимизация или които могат да го извлекат). Насоките изрично посочват, че псевдонимизираните данни не променят статуса на личните си данни — те остават предмет на всички задължения на GDPR — дори ако изглеждат неидентифициращи за страни извън домейна.
Това пояснение засяга организации, които смятат, че „токенизацията“ или „псевдонимизацията с ключове“ са премахнали техните данни от обхвата на GDPR. Според насоките от януари 2025 г. не е така. Организацията, която държи ключа за псевдонимизация, остава администратор на данни GDPR за псевдонимизираните данни.
Пропастта в маркетинга на инструментите
Много инструменти, продавани като инструменти за „анонимизиране“, всъщност произвеждат псевдонимизирани данни. Разграничението:
Истинска анонимност (необратима): Трансформацията не може да бъде отменена от която и да е страна, като се използват каквито и да е средства, налични сега или в бъдеще. Истинската анонимизация премахва изцяло данните от обхвата на GDPR.
Псевдонимизация (обратима): Трансформацията може да бъде обърната с помощта на ключ, справочна таблица или допълнителна информация, съхранявана отделно. Псевдонимизацията не премахва данни от обхвата на GDPR — те остават лични данни за страните, които притежават или могат да извлекат ключа.
Системи, базирани на токени (замяна на PII с последователни токени и поддържане на таблица за съпоставяне), системи, базирани на криптиране (замяна на PII с криптирани стойности и поддържане на ключ за декриптиране) и криптиране, запазващо формата, произвеждат псевдонимизирани данни. Данните остават лични данни съгласно указанията на EDPB от януари 2025 г.
Хеширането (прилагането на еднопосочна хеш функция към PII стойности) е по-близко до анонимизирането — ако хеш функцията е криптографски защитена и не е осъществимо търсене на предварително изображение — но указанията на EDPB отбелязват, че хеширането на данни с ниска ентропия (къси низове като имена или общи идентификатори) е уязвимо за атаки с дъгова таблица и може да не представлява истинска анонимност.
Стратегия за съответствие съгласно новите насоки
DPO трябва да преоценят своята стратегия за класифициране на данни в светлината на насоките на EDPB от януари 2025 г.:
За данни, класифицирани като „анонимизирани“ (извън обхвата на GDPR): оценете отново дали трансформацията е наистина необратима. Ако някоя страна може да го отмени – включително самият администратор на данни – той се псевдонимизира и GDPR все още се прилага.
За данни, които трябва да останат извън обхвата на GDPR (за анализ, архивиране или проучване): използвайте необратими методи за анонимизиране — редактиране (постоянно премахване), маскиране с невъзстановими стойности или криптографско хеширане на данни с висока ентропия. Документирайте метода и основата за определяне на анонимизацията.
За данни, които се възползват от контролирана обратимост (изследвания с изисквания за повторен контакт, одитни пътеки, задължения за откриване): изрично класифициране като псевдонимизирани лични данни, поддържане на всички задължения по GDPR, документиране на договореностите за попечителство на ключове за псевдонимизиране съгласно изискванията за разделяне на ключове на EDPB.
Изричната рамка с пет метода — Замяна, Редактиране, Маскиране, Хеширане, Шифроване — картографира директно върху тази класификация: Замяна, Маскиране и Шифроване произвеждат псевдонимизирани данни (GDPR все още се прилага). Redact и Hash (на данни с висока ентропия) се доближават до истинска анонимност (подлежи на анализ на пълнотата и ентропията).
Източници:
- [EDPB Указания 01/2025: Псевдонимизация и дефиниция на домейн за псевдонимизация] (https://www.edpb.europa.eu)
- EDPB Указания 05/2022: Предишни насоки за псевдонимизация и изисквания за разделяне на ключове
- GDPR Член 4(5): Определение за псевдонимизация съгласно GDPR