Действието за прилагане на EDPB от 2025 г
Действието на Европейския съвет за защита на данните от 2025 г. на Координираната рамка за прилагане (CEF) е насочено към член 17 от GDPR — право на изтриване. Тридесет и два органа за защита на данните в ЕС и ЕИП едновременно проучиха как организациите отговарят на искания за право на изтриване. Координираният подход е предназначен да идентифицира системни повреди, а не отделни извънредни случаи.
Констатациите идентифицираха седем повтарящи се предизвикателства за съответствие в изследваните организации:
- Лошо документирани вътрешни процедури за обработка на заявки за изтриване
- Прекалено широко отхвърляне на законни искания (използване на позволени изключения твърде широко)
- Неоправдани тежести върху лицата, когато подават искания за изтриване
- Невъзможност за намиране на всички лични данни в системите при обработка на искане за изтриване
- Прекомерни забавяния при обработката на заявки след 30-дневния прозорец за отговор на GDPR
- Недостатъчна комуникация на субектите на данни относно резултата от техните искания
- Неефективни техники за анонимизиране, използвани като алтернатива на изтриването — специално маркирани като организации, използващи технически дефектна „анонимизация“, която оставя данните повторно идентифицирани
Девет DPA започнаха официални разследвания въз основа на констатациите на CEF. Седмото повтарящо се предизвикателство – неефективното анонимизиране – е пряко свързано с организациите, които използват анонимизирането като своя основна стратегия за минимизиране на данните.
Алтернативата на анонимизирането на изтриването
Правото на GDPR на изтриване не изисква изтриване във всички случаи. Съображение 65 отбелязва, че изтриването може да бъде осъществено чрез анонимизиране, когато изтриването не е технически осъществимо (например в резервни ленти или интегрирани системи за анализ, където изтриването на индивидуален запис би изисквало реконструкция на системата).
Констатациите на CEF на EDPB показват, че тази алтернатива се злоупотребява: организациите претендират за „анонимизиране“ за трансформиране на данни, което оставя данните технически повторно идентифицирани – използвайки думата, за да избегнат оперативната тежест на действителното изтриване, вместо да постигнат резултата за защита на данните, който анонимизирането трябва да осигури.
Разграничението, което прави EDPB: истинската анонимност — при която връзката между данните и лицето не може да бъде възстановена с никакви средства, достъпни за администратора на данни или трета страна — премахва данните от обхвата на GDPR и удовлетворява искането за изтриване. Псевдонимизацията — когато е възможна повторна идентификация със съответния ключ — не удовлетворява искането за изтриване; личните данни на субекта на данните все още съществуват и трябва да бъдат изтрити или ключът трябва да бъде унищожен.
Практическа стратегия за съответствие
За организации, използващи анонимизация като алтернатива на изтриването в аналитични системи:
Правилната архитектура разделя приемането на данни (необработени лични данни) от анализа на данни (анонимизирани производни). Личните данни в слоя за поглъщане подлежат на искания за изтриване — когато субект на данни упражнява правата по член 17, личните данни в слоя за поглъщане се изтриват. Анонимизираните производни в аналитичния слой — ако анонимизирането е изчерпателно и необратимо — не е необходимо да се променят, защото те вече не са лични данни.
Тази архитектура изисква анонимизирането на границата между поглъщане и анализ да бъде технически издържано: необратимо (не токенизиране), изчерпателно (обхванати са всички категории идентификатори) и документирано (организацията може да докаже на DPA, че методът за анонимизиране отговаря на стандартите на EDPB). Компанията за търговия на дребно, която анонимизира историята на покупките на клиентите преди обработката на анализа, заменяйки имената и данните за контакт с токени под обратимо криптиране, е псевдонимизирала (не е анонимизирала) данните — наборът от данни за анализ все още съдържа лични данни, които подлежат на искания за изтриване.
Източници:
- [EDPB 2025 CEF: Координирани действия по прилагане на правото на изтриване] (https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-implementation-right-erasure_en)
- [GDPR член 17: Право на изтриване и условия за премахване] (https://gdpr-info.eu/art-17-gdpr/)
- [DLA Piper 2025: GDPR глобите достигнаха 1,2 милиарда евро през 2024 г.] (https://www.dlapiper.com/en-us/insights/publications/2025/01/gdpr-fines-and-data-breach-survey-2025)