Pseudonymisasi Versus Penanoniman Irreversi
GDPR membezakan dua darjah pengahalforestrian data:
-
Pseudonymisasi (Artikel 4(5)) — pemprosesan data sedemikian rupa sehingga data peribadi tidak dapat dikaitkan dengan subjek data tertentu tanpa menggunakan maklumat tambahan (kunci penanoniman). Subjek data masih boleh dikenal pasti dengan upaya tambahan jika seseorang mempunyai akses kepada kunci.
-
Penanoniman — pemprosesan data sedemikian rupa sehingga orang semula jadi tidak boleh dikenal pasti dan tidak boleh dikaitkan semula. Penanoniman adalah tidak dapat diterbalikkan — bahkan jika seseorang mempunyai kunci asli, mereka tidak dapat memulihkan identiti.
Pada Februari 2025, EDPB mengeluarkan panduan baru (WP29 Opinion 2025/017) yang menerangkan:
Pseudonymisasi Yang Sah Di Bawah GDPR Memerlukan:
- Pemisahan Kawalan Akses — Pengecam asli disimpan terpisah daripada nilai hasilan satu arah dengan akses ketat
- Kata Kunci Pelindung Kriptografi — Disimpan dalam sistem manajemen kunci yang berasingan, bukan dalam fail teks biasa
- Audit Jejak — Log penuh siapa yang mengakses kunci, bila, dan untuk tujuan apa
- Penolakan Kunci Berkala — Kunci mesti dihapus selepas tempoh penyimpanan jika tidak lagi diperlukan
Pseudonymisasi Yang TIDAK Sah:
- Pengecam + hash satu arah disimpan dalam jadual yang sama (risiko sambungan mendua)
- Fail pemetaan (ID Asli → Pseudo_ID) disimpan tanpa enkripsi
- Semua karyawan yang mempunyai akses baca ke jadual pseudonymised juga mempunyai akses kepada fail kunci
- Tidak ada jejak audit untuk akses kunci
Keputusan EDPB mempunyai implikasi penting bagi organisasi yang bergantung pada pseudonymisasi sebagai kontrol perlindungan data. Banyak pelaksanaan "pseudonymisasi" sedia ada adalah sebenarnya "penyembunyian data yang lemah" dan tidak memenuhi ambang kawalan penggantian GDPR.