EDPB 2025: स्यूडोनिमाइज़ेशन दिशानिर्देश समझाया गया
2026 के लिए अपडेट किया गया
जनवरी 2025 में क्या बदला
यूरोपीय डेटा प्रोटेक्शन बोर्ड ने जनवरी 2025 में दिशानिर्देश 01/2025 जारी किए। विषय: स्यूडोनिमाइज़ेशन। मुख्य बिंदु संक्षिप्त है। स्यूडोनिमाइज़्ड फाइलें अभी भी व्यक्तिगत फाइलें हैं। वे कानून के दायरे के अंदर रहती हैं। कई टीमों ने माना था कि वे इसके बाहर हैं। नए दिशानिर्देश कहते हैं — नहीं।
अगर आपके संगठन के पास प्रक्रिया को पूर्ववत करने की कुंजी है, तो नियम अभी भी आप पर लागू होते हैं।
स्यूडोनिमाइज़ेशन डोमेन
दिशानिर्देश एक नया विचार जोड़ते हैं: स्यूडोनिमाइज़ेशन डोमेन। यह उन पक्षों का समूह है जो किसी स्यूडोनिमाइज़्ड आइटम को वास्तविक व्यक्ति से जोड़ सकते हैं।
उस समूह का कोई भी पक्ष कानून के अंतर्गत आता है। यदि आपके पास कुंजी है — या आप इसे पता लगा सकते हैं — तो आप उस समूह में हैं। सभी नियम लागू होते हैं।
दो शब्द। एक अंतर।
ये दोनों शब्द एक जैसे नहीं हैं।
सच्चा अनामीकरण पूर्ववत नहीं किया जा सकता। कोई भी पक्ष इसे उलट नहीं सकता — अभी या बाद में। वास्तव में अनामीकृत फाइलें कानून के दायरे से बाहर आती हैं।
स्यूडोनिमाइज़ेशन पूर्ववत किया जा सकता है। एक कुंजी, एक लुकअप टेबल, या एक साइड फाइल मूल मान वापस ला सकती है। जो पक्ष कुंजी रखता है, उसके लिए वे आइटम कानून के अंदर रहते हैं।
तीन टूल प्रकार जो स्यूडोनिमाइज़्ड — अनामीकृत नहीं — आउटपुट उत्पन्न करते हैं:
- टोकन सिस्टम: PII को निश्चित टोकन से बदलें और एक लुकअप टेबल रखें
- एन्क्रिप्ट टूल: PII मान को लॉक करें और अनलॉक कुंजी रखें
- फॉर्मेट-प्रिज़र्विंग एन्क्रिप्शन टूल
हैशिंग सच्चे अनामीकरण के करीब है — लेकिन केवल तब जब इनपुट अनुमान लगाना कठिन हो। छोटे नामों या सामान्य ID कोड के लिए, लुकअप अटैक हैश को पूर्ववत कर सकते हैं। EDPB इस जोखिम को चिह्नित करता है। आसानी से अनुमान लगाए जाने वाले मानों की हैशिंग सच्चे अनामीकरण के रूप में नहीं गिनी जा सकती।
DPO के लिए कदम
"अनामीकृत" लेबल की प्रत्येक फाइल सेट की समीक्षा करें। पूछें: क्या कोई भी पक्ष इसे पूर्ववत कर सकता है? यदि हाँ, तो यह स्यूडोनिमाइज़्ड है। कानून अभी भी लागू होता है।
ऐसी फाइलें जो कानून के दायरे से बाहर रहनी चाहिए — विश्लेषण, अभिलेखागार, शोध कुल — ऐसे कदमों की जरूरत है जिन्हें पूर्ववत नहीं किया जा सकता। विकल्प: स्थायी संपादन, बिना-पुनर्प्राप्ति मानों के साथ मास्किंग, या अनुमान-कठिन इनपुट की हैशिंग। विधि और उसका कारण लॉग करें।
ऐसी फाइलें जहाँ प्रक्रिया पूर्ववत की जा सकनी चाहिए — शोध पुनः-संपर्क, ऑडिट ट्रेल, कानूनी होल्ड — को स्यूडोनिमाइज़्ड व्यक्तिगत फाइलों के रूप में लेबल किया जाना चाहिए। सभी कानूनी दायित्व बनाए रखें। EDPB कुंजी नियमों का उपयोग करते हुए कुंजी अभिरक्षा लॉग करें।
पाँच-विधि ढाँचा इस विभाजन पर लागू होता है। Replace, Mask, और Encrypt स्यूडोनिमाइज़्ड आउटपुट उत्पन्न करते हैं। Redact और Hash (केवल अनुमान-कठिन इनपुट) सच्चे अनामीकरण तक पहुँच सकते हैं — पूर्णता समीक्षा के अधीन।
जाँचें कि आपके टूल वास्तव में क्या उत्पन्न करते हैं। "अनामीकरण" टूल के रूप में बेचा गया उत्पाद स्यूडोनिमाइज़्ड आइटम दे सकता है यदि वह कोई लुकअप या कुंजी रखता है। हमारा GDPR अनुपालन गाइड सभी वर्गीकरण नियमों को कवर करता है। हमारा सुरक्षा अनुपालन अवलोकन DPO को लॉग करने योग्य तकनीकी नियंत्रण समझाता है। टूल मार्गदर्शन के लिए, हमारा अनामीकरण प्रीसेट और ऑडिट गाइड देखें।