Отличието от 20 милиона евро
GDPR Член 83 определя максимални санкции на 20 милиона евро или 4% от глобалните годишни приходи, което от двете е по-високо, за най-сериозните нарушения. Разликата между анонимизация и псевдонимизация определя дали GDPR изобщо се прилага към набор от данни — и дали се прилага максималното фино излагане.
GDPR Съображение 26 определя прага на анонимизиране: „Следователно принципите на защита на данните не следва да се прилагат за анонимна информация, а именно информация, която не е свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, или с лични данни, превърнати в анонимни по такъв начин, че субектът на данните не може или вече не може да бъде идентифициран.“ Ключовата фраза: „не може или вече не може да бъде идентифицирано“ — по всякакъв начин, за който има разумна вероятност да бъде използван от администратора на данни, всеки обработващ или трета страна.
Член 4, параграф 5 от GDPR дефинира псевдонимизацията: „обработка на лични данни по такъв начин, че личните данни вече не могат да бъдат приписвани на конкретен субект на данни без използването на допълнителна информация, при условие че такава допълнителна информация се съхранява отделно.“ Псевдонимизираните данни изрично не са анонимни — те „вече не могат да бъдат приписвани... без използването на допълнителна информация“. Псевдонимизираните данни остават лични данни съгласно GDPR.
Практическото значение: организация, която вярва, че нейният набор от аналитични данни е „анонимизиран“ (извън GDPR), когато всъщност е „псевдонимизиран“ (вътре в GDPR), има неправилни записи по член 30 ROPA, недостатъчни процедури за правата на субектите на данни, неадекватни периоди на задържане, липсващи гаранции за трансфер на данни за всякакви трансгранична аналитична обработка и липса на механизъм за отговор на заявки за право на изтриване. Всеки от тези недостатъци е самостоятелно нарушение на GDPR.
Сигналът за прилагане на CEF
Рамката за координирано прилагане на EDPB от 2025 г. конкретно идентифицира „неефективни техники за анонимизиране, използвани като алтернатива на изтриването“ като повтарящ се несъответствие. Това откритие сигнализира, че DPA оценяват качеството на анонимизирането, а не само наличието или отсъствието на стъпка за анонимизиране.
Случаят на използване на холандската компания за анализ на данни илюстрира правилния подход: компания, предлагаща „анонимизирани“ набори от клиентски данни на изследователи от трети страни, използва метод Redact (постоянно премахване на PII без картографиране на токени). Полученият набор от данни няма път за повторна идентификация — няма ключ, няма таблица с токени, няма хеш предобраз — отговарящ на прага на GDPR в съображение 26. DPO документира това определяне в DPIA: използван метод, обхванати типове идентификатори, основа за необратимост, остатъчна оценка на риска от повторна идентификация. Наборът от данни е извън обхвата на GDPR. Задълженията на GDPR (включително правата на субектите на данни, лимити за задържане и предпазни мерки за прехвърляне) не се прилагат за копия за изследвания на трети страни.
Избор на метод според целта за съответствие
Извън обхвата на GDPR (истинска анонимизация): Използвайте Redact (постоянно премахване) или Hash (на стойности с висока ентропия, които не могат да бъдат отгатнати). Документирайте базата за анонимизиране. За изхода не се прилагат задължения по GDPR.
В обхвата на GDPR с намален риск (псевдонимизация): Използвайте Replace, Mask или Encrypt. Всички задължения на GDPR продължават да се прилагат. Псевдонимизацията намалява риска от увреждане от неоторизиран достъп, но не премахва обхвата на GDPR.
Контролирана обратимост (проучване, одит, откриване): Използвайте шифроване с държани от клиента ключове. Прилага се GDPR. Договореностите за попечителство на ключове трябва да отговарят на изискванията за разделяне на ключове на EDPB Насоки 05/2022. Документирайте домейна за псевдонимизация.
Източници:
- [GDPR Съображение 26: Дефиниране на анонимна информация и праг за анонимизиране] (https://gdpr-info.eu/recitals/no-26/)
- [GDPR член 4, параграф 5: Определение за псевдонимизация] (https://gdpr-info.eu/art-4-gdpr/)
- [EDPB 2025 CEF: Констатация за прилагане на неефективни техники за анонимизиране] (https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-implementation-right-erasure_en)