Anonimizálás vs. pszeudoanonimizálás: 20 millió euró a tét
A 83. cikk legmagasabb bírságként 20 millió eurót vagy a globális éves árbevétel 4%-át állapítja meg. Egyetlen jogi kérdés határozza meg ezt a kockázatot: vonatkozik-e a jogszabály az adatkészletére?
Az anonimizálás megszünteti a hatályt. A pszeudoanonimizálás nem. Ez a különbség óriási.
A két fogalom közérthető meghatározása
A 26. preambulumbekezdés határozza meg az anonimizálás mércéjét. A személy „nem vagy már nem azonosítható”. A teszt szélesen értelmezendő. Kiterjed minden „ésszerűen valószínűleg igénybe vehető” eszközre. Ebbe beletartozik az adatkezelő maga is. Kiterjed minden adatfeldolgozóra és minden harmadik félre is.
A 4. cikk (5) bekezdése határozza meg a pszeudoanonimizálást. Az adatok akkor pszeudoanonimizáltak, ha egy kulccsal visszafordíthatók. Távolítsa el a kulcsot, és az adat még mindig megmarad. Ezt a kiegészítő adatot elkülönítve kell tárolni. Ez nem minősül anonimizálásnak.
A pszeudoanonimizált adatok továbbra is személyes adatoknak minősülnek. A jogszabály teljes körűen alkalmazandó. Nincs hatályi kivétel. Szó sem lehet másról.
Egy helytelen besorolás következményei
Egy pszeudoanonimizált adatkészlet anonimként való kezelése egyszerre öt problémát okoz:
- Helytelen ROPA-bejegyzések a 30. cikk szerint
- Nincs érintetti jogok kezelési folyamata a hozzáférés, törlés vagy hordozhatóság terén
- Nincs megőrzési ütemterv – nem létezik törlési kiváltó esemény
- Nincsenek adattovábbítási biztosítékok a határon átnyúló tevékenységekhez
- Nincs törlési útvonal a törléshez való jog iránti kérelmekhez
Minden egyes hiányosság önálló jogsértés. Mind az öt egyetlen folyamatban is jelen lehet.
A 2025-ös végrehajtási jelzés
2025-ben az EDPB összehangolt végrehajtási gyakorlatot végzett. A jelentés egy visszatérő hibát nevezett meg: „a törlés alternatívájaként alkalmazott nem hatékony anonimizálási technikák”. Az adatvédelmi hatóságok (DPA-k) most már az anonimizálás minőségét is ellenőrzik. Nem csupán azt vizsgálják, hogy létezik-e valamiféle lépés. A lépésnek működnie is kell.
Egy keresési táblázattal rendelkező tokenizált adatkészlet pszeudoanonimizált. Nem anonim. Van kulcsa. A kulcs visszafordíthatja. Anonimnak minősíteni pontosan az a hiba, amelyet a 2025-ös jelentés megcéloz.
A megfelelő módszer kiválasztása
Valódi anonimizálás – a hatályon kívül. Alkalmazza a Redakciót. A személyes adat nyomtalanul eltűnik. Hashelhet is nagy entrópiájú értékeket, ha nincs előképpárosítási útvonal. Dokumentálja az indokot. A kimenethez nem kapcsolódnak jogi kötelezettségek.
Pszeudoanonimizálás – a hatályon belül. Alkalmazza a Cserét, a Maszkolást vagy a Titkosítást. A jogszabály teljes körűen érvényes. A pszeudoanonimizálás csökkenti az adatvédelmi incidens kárát. A jogi kötelezettségeket nem csökkenti.
Kontrollált visszafordíthatóság – kutatáshoz vagy audithoz. Alkalmazza a Titkosítást ügyfél által tárolt kulcsokkal. A kulcskezelésnek meg kell felelnie az EDPB 05/2022-es kulcselkülönítési szabályainak. Rögzítse a tartományt az adatvédelmi hatásvizsgálatban (DPIA).
Egy valós felhasználási eset
Egy vállalat „anonimizált” vásárlói adatokat értékesít kutatók számára. A Redakció módszert alkalmazzák. A személyes adatok eltűnnek. Nincs token-táblázat. Nincs hashelési előkép. A visszaazonosításnak nincs útvonala.
Az adatvédelmi tisztviselő ezt rögzíti a DPIA-ban. Az alkalmazott módszer. Az azonosítótípusok. Miért visszafordíthatatlan. A maradék kockázat szintje. A kimenet a hatályon kívül esik. Az érintetti jogok és az adattovábbítási szabályok nem vonatkoznak a kutatási példányokra.
A módszer megfelel az állításnak. Ez a helyes eljárás. Auditban is helytáll.
Miért fontos a dokumentáció
Egy vállalat nem csupán állíthatja az anonimizálást. Az állításnak dokumentált alapjai szükségesek. A DPIA-nak négy dolgot kell igazolnia. Mely azonosítótípusok kerültek kezelésre. Melyik módszert alkalmazták. Miért nincs visszaazonosítási útvonal. Mi a maradék kockázat szintje.
E dokumentáció nélkül egy audit az adatkészletet a hatályon belülinek tekinti. A kötelezettségek teljes köre alkalmazandó. A ROPA-bejegyzésnek meg kell lennie. Az adattovábbítási biztosítékoknak meg kell lenniük. A törlési útvonalnak meg kell lennie. Egyetlen kötelezettség sem szűnik meg bizonyíték nélkül.
A törlési jog és az anonimizált adatok összefüggéséről tekintse meg a GDPR törlési jogról és az EDPB 2025-ös iránymutatásról szóló cikket. A határon átnyúló adatmegosztásra vonatkozó továbbítási szabályokról lásd az adattovábbítási megfelelőségről és a TikTok-bírságról szóló írást.