EDPBs Håndhevelsesaksjon for 2025
Det europeiske databeskyttelsesstyrets koordinerte håndhevelsesrammeverk (CEF) for 2025 målrettet GDPR Artikkel 17 — retten til sletting. Trettito databeskyttelsesmyndigheter over hele EU og EØS undersøkte samtidig hvordan organisasjoner responderer på forespørsel om sletting. Den koordinerte tilnærmingen var designet for å identifisere systematiske feil fremfor individuelle avvik.
Funnene identifiserte syv gjentakende overholdelsesutfordringer på tvers av de undersøkte organisasjonene:
- Dårlig dokumenterte interne prosedyrer for behandling av forespørsel om sletting
- Overdrevent bred avvisning av legitime forespørsel (bruk av tillatte unntak for bredt)
- Urimelige byrder pålagt enkeltpersoner når de sender inn forespørsel om sletting
- Manglende evne til å lokalisere all personlig data på tvers av systemer når man behandler en forespørsel om sletting
- Overdrevne forsinkelser i behandlingen av forespørsel utover GDPRs 30-dagers svarvindu
- Utilstrekkelig kommunikasjon til registrerte om utfallet av deres forespørsel
- Ineffektive anonymiseringsteknikker brukt som et alternativ til sletting — spesifikt flagget som organisasjoner som bruker teknisk defekt "anonymisering" som lar data være re-identifiserbare
Ni databeskyttelsesmyndigheter innledet formelle undersøkelser basert på CEF-funnene. Den syvende gjentakende utfordringen — ineffektiv anonymisering — er direkte relevant for organisasjoner som bruker anonymisering som sin primære strategi for dataminimering.
Anonymisering som Alternativ til Sletting
GDPRs rett til sletting krever ikke sletting i alle tilfeller. Betraktning 65 bemerker at sletting kan oppnås gjennom anonymisering der sletting ikke er teknisk mulig (for eksempel i sikkerhetskopier eller integrerte analyssystemer der sletting av individuelle poster ville kreve systemrekonstruksjon).
EDPBs CEF-funn indikerer at dette alternativet misbrukes: organisasjoner påstår "anonymisering" for datatransformasjon som lar data være teknisk re-identifiserbare — ved å bruke ordet for å unngå den operative byrden av faktisk sletting i stedet for å oppnå databeskyttelsesresultatet som anonymisering skal gi.
Distinksjonen EDPB trekker: ekte anonymisering — der koblingen mellom dataene og individet ikke kan gjenopprettes med noen midler tilgjengelig for datakontrolleren eller noen tredjepart — fjerner dataene fra GDPRs omfang og tilfredsstiller forespørselen om sletting. Pseudonymisering — der re-identifisering er mulig med den riktige nøkkelen — tilfredsstiller ikke forespørselen om sletting; den registrertes personopplysninger eksisterer fortsatt og må slettes eller nøkkelen må destrueres.
Praktisk Overholdelsesstrategi
For organisasjoner som bruker anonymisering som et alternativ til sletting i analyssystemer:
Den riktige arkitekturen skiller datainntak (rå personopplysninger) fra dataanalyse (anonymiserte derivater). Personopplysninger i inntaksleddet er gjenstand for forespørsel om sletting — når en registrert utøver rettighetene i Artikkel 17, blir personopplysningene i inntaksleddet slettet. De anonymiserte derivatene i analyset laget — hvis anonymiseringen var omfattende og irreversibel — trenger ikke å bli modifisert fordi de ikke lenger er personopplysninger.
Denne arkitekturen krever at anonymiseringen ved grensen mellom inntak og analyse er teknisk solid: irreversibel (ikke tokenisering), omfattende (alle identifikatorer adressert), og dokumentert (organisasjonen kan demonstrere for en databeskyttelsesmyndighet at anonymiseringsmetoden oppfyller EDPBs standarder). Det detaljhandelsfirmaet som anonymiserer kundens kjøpshistorikk før analysebehandling, og erstatter navn og kontaktopplysninger med tokens under reversibel kryptering, har pseudonymisert (ikke anonymisert) dataene — analyset datasettet inneholder fortsatt personopplysninger som er gjenstand for forespørsel om sletting.
Kilder: