Anonymizace vs. pseudonymizace: v sázce je 20 milionů EUR
Článek 83 stanoví maximální sankce na 20 milionů EUR nebo 4 % celkového ročního světového obratu. Jednou právní otázkou se určuje tato riziková expozice: vztahuje se zákon na váš soubor dat?
Anonymizace vylučuje působnost. Pseudonymizace nikoli. Rozdíl je zásadní.
Dvě definice v přehledném podání
Bod odůvodnění 26 stanoví kritérium pro anonymizaci. Osoba musí být „neidentifikovatelná nebo již dále neidentifikovatelná.” Test je široký: zohledňuje veškeré „přiměřeně použitelné” prostředky, včetně těch, které má správce, zpracovatel i třetí strany.
Článek 4 odst. 5 definuje pseudonymizaci. Data jsou pseudonymizována, pokud klíč umožňuje zvrátit postup. Klíč odstraňte a data zůstanou. Tyto dodatečné informace musí být uchovávány odděleně. To není anonymizace.
Pseudonymizovaná data jsou stále osobními údaji. Zákon se uplatňuje v plném rozsahu. Žádná výjimka z působnosti neexistuje. Tečka.
Cena chybného označení
Zacházet s pseudonymizovaným souborem dat jako s anonymním vytváří současně pět problémů:
- Nesprávné záznamy ROPA podle článku 30
- Žádný postup pro práva subjektů — přístup, výmaz ani přenositelnost
- Žádný plán uchovávání — žádný spouštěč pro smazání
- Žádné záruky pro přenosy v přeshraničních operacích
- Žádný postup výmazu pro žádosti o právo být zapomenut
Každá mezera představuje samostatné porušení. Všech pět může existovat v jediném zpracovatelském řetězci najednou.
Signál vymáhání v roce 2025
V roce 2025 provedl EDPB koordinovanou kontrolní akci. Zpráva identifikovala opakující se anomálii: „neúčinné techniky anonymizace používané jako alternativa k výmazu.” Dozorové úřady nyní prověřují kvalitu anonymizace — nejen zda postup existuje, ale zda skutečně funguje.
Tokenizovaný soubor dat s vyhledávací tabulkou je pseudonymizovaný. Není anonymní. Má klíč, který umožňuje zvrácení. Označit jej za anonymní je přesně ta slabina, kterou zpráva z roku 2025 identifikuje.
Volba správné metody
Skutečná anonymizace — mimo působnost. Použijte redakci. Osobní data jsou odstraněna bez možnosti přiřazení. Lze také použít hashování hodnot s vysokou entropií bez preimage cesty. Zdokumentujte právní základ. Na výstup se nevztahují žádné zákonné povinnosti.
Pseudonymizace — v působnosti. Použijte substituci, maskování nebo šifrování. Zákon se uplatňuje v plném rozsahu. Pseudonymizace snižuje škodu při porušení, ale neodstraňuje zákonné povinnosti.
Kontrolovaná reversibilita — pro výzkum nebo audit. Použijte šifrování s klíči drženými zákazníkem. Správa klíčů musí odpovídat pravidlům oddělení klíčů z EDPB 05/2022. Doménu zaznamenejte do DPIA.
Konkrétní případ použití
Společnost prodává výzkumníkům „anonymizované” záznamy zákazníků. Použije metodu redakce: osobní data jsou odstraněna, bez tabulky tokenů ani hashovacího preimage. Cesta k reidentifikaci neexistuje.
DPO vše zdokumentuje v DPIA: použitá metoda, typy identifikátorů, proč postup nelze zvrátit, zbytková úroveň rizika. Výstup je mimo působnost. Práva subjektů a pravidla o přenosech se na výzkumné kopie nevztahují.
Metoda odpovídá prohlášení. To je správný postup. Obstojí při auditu.
Proč je dokumentace klíčová
Společnost nemůže pouze prohlásit, že anonymizovala. Toto tvrzení musí být zdokumentováno. DPIA musí prokázat čtyři věci: které identifikátory byly pokryty, jaká metoda byla použita, proč reidentifikace nemá žádnou cestu a jaká je zbytková úroveň rizika.
Bez této dokumentace audit považuje soubor dat za podléhající působnosti. Veškeré povinnosti se uplatňují: záznam ROPA musí existovat, záruky pro přenosy musí existovat, postup výmazu musí existovat. Žádná povinnost nezaniká bez zdokumentovaných důkazů.
Ohledně interakce mezi právem na výmaz a anonymizovanými záznamy viz průvodce GDPR právem na výmaz a pokyny EDPB 2025. Ohledně pravidel o přenosech při přeshraničním sdílení viz soulad s přenosy dat a pokuta TikTok.