Pokuta 20 milionů eur vydaná německým BfDI v březnu 2025 na platformu pro personalizaci (záměrně anonymizovanou v tomto článku) citovala jeden specifický závěr: organizace prohlásila, že zákaznická data jsou „anonymizována", ale BfDI technické posouzení zjistilo, že data jsou ve skutečnosti pseudonymizována — s zachovaným mapovacím klíčem umožňujícím re-identifikaci.
Právní Rozdíl
Anonymizace (GDPR Recitál 26): Data jsou anonymizována, pokud by „nemohla být přiřazena identifikované nebo identifikovatelné fyzické osobě" — bere v úvahu „všechny způsoby, které správce nebo jakákoli jiná osoba přiměřeně může použít" pro re-identifikaci.
Klíčová implikace: Anonymizovaná data nejsou „osobními daty" pod GDPR. Anonymizace eliminuje GDPR povinnosti pro daná data.
Pseudonymizace (GDPR Článek 4(5)): Zpracování tak, aby data „již nemohla být přiřazena konkrétnímu subjektu dat bez použití dalších informací, za předpokladu, že taková další informace je uchovávána odděleně a podléhá technickým a organizačním opatřením."
Klíčová implikace: Pseudonymizovaná data jsou STÁLE osobními daty pod GDPR. Pseudonymizace snižuje riziko, ale neodstraňuje GDPR povinnosti.
Technický Test: Je to Skutečná Anonymizace?
Posouzení, zda data jsou skutečně anonymizována (ne pouze pseudonymizována):
Test 1 — Existence mapovacího klíče: Existuje kdekoli v systémech organizace mapovací klíč, tabulka nebo jiný mechanismus, který by umožnil re-identifikaci? Pokud ano: data jsou pseudonymizovaná, ne anonymizovaná.
Test 2 — Singling out: Může datová sada být použita k odlišení záznamu jedné osoby od ostatních? K-anonymita (k ≥ 5) je výchozím standardem.
Test 3 — Linkability: Mohou záznamy v datové sadě být propojeny s externími datovými zdroji k re-identifikaci? Kombinace věku + PSČ + pohlaví je v průměru dostatečná k identifikaci 87 % americké populace (Sweeney 2000).
Test 4 — Inference: Mohou být citlivé atributy odvozeny z nepřímých atributů? Geografická data + pracovní data + věk může odhalit zdravotní stav nebo etnický původ.
Zdroje: