Wyjaśnienie EDPB z stycznia 2025 roku
Wytyczne Europejskiej Rady Ochrony Danych 01/2025 dotyczące pseudonimizacji, opublikowane w styczniu 2025 roku, wprowadziły kilka wyjaśnień mających istotne implikacje dla zgodności organizacji korzystających z narzędzi do anonimizacji danych.
Najważniejsze wyjaśnienie: wytyczne wprowadzają pojęcie "obszaru pseudonimizacji" — zbioru stron, dla których dane pseudonimizowane pozostają powiązane z rzeczywistymi osobami. Dane pseudonimizowane są danymi osobowymi zgodnie z GDPR dla każdej strony w obszarze pseudonimizacji (strony, które posiadają klucz pseudonimizacji lub mogą go wyprowadzić). Wytyczne wyraźnie stwierdzają, że dane pseudonimizowane nie zmieniają swojego statusu jako danych osobowych — pozostają podległe wszystkim obowiązkom GDPR — nawet jeśli wydają się nieidentyfikujące dla stron spoza obszaru.
To wyjaśnienie dotyczy organizacji, które uważały, że "tokenizacja" lub "pseudonimizacja z kluczami" usunęły ich dane z zakresu GDPR. Zgodnie z wytycznymi z stycznia 2025 roku, tak nie jest. Organizacja posiadająca klucz pseudonimizacji pozostaje administratorem danych zgodnie z GDPR dla danych pseudonimizowanych.
Luka w marketingu narzędzi
Wiele narzędzi reklamowanych jako "narzędzia anonimizacji" w rzeczywistości produkuje dane pseudonimizowane. Różnica:
Prawdziwa anonimizacja (nieodwracalna): Transformacja nie może być odwrócona przez żadną stronę, przy użyciu jakichkolwiek dostępnych teraz lub w przyszłości środków. Prawdziwa anonimizacja całkowicie usuwa dane z zakresu GDPR.
Pseudonimizacja (odwracalna): Transformacja może być odwrócona przy użyciu klucza, tabeli wyszukiwania lub dodatkowych informacji przechowywanych oddzielnie. Pseudonimizacja nie usuwa danych z zakresu GDPR — pozostają one danymi osobowymi dla stron, które posiadają lub mogą wyprowadzić klucz.
Systemy oparte na tokenach (zastępujące PII spójnymi tokenami i utrzymujące tabelę mapowania), systemy oparte na szyfrowaniu (zastępujące PII zaszyfrowanymi wartościami i utrzymujące klucz deszyfrujący) oraz szyfrowanie zachowujące format wszystkie produkują dane pseudonimizowane. Dane pozostają danymi osobowymi zgodnie z wytycznymi EDPB z stycznia 2025 roku.
Haszowanie (zastosowanie funkcji haszującej jednokierunkowej do wartości PII) jest bliższe anonimizacji — jeśli funkcja haszująca jest kryptograficznie bezpieczna i nie jest możliwe wyszukiwanie preobrazów — ale wytyczne EDPB zauważają, że haszowanie danych o niskiej entropii (krótkie ciągi, takie jak imiona lub powszechne identyfikatory) jest podatne na ataki tęczowe i może nie stanowić prawdziwej anonimizacji.
Strategia zgodności zgodnie z nowymi wytycznymi
Inspektorzy Ochrony Danych muszą ponownie ocenić swoją strategię klasyfikacji danych w świetle wytycznych EDPB z stycznia 2025 roku:
Dla danych klasyfikowanych jako "zanonimizowane" (poza zakresem GDPR): ponownie oceń, czy transformacja jest naprawdę nieodwracalna. Jeśli jakakolwiek strona może ją odwrócić — w tym sam administrator danych — jest to pseudonimizacja i GDPR nadal ma zastosowanie.
Dla danych, które muszą pozostać poza zakresem GDPR (do analizy, archiwizacji lub badań): użyj metod nieodwracalnej anonimizacji — redakcji (trwałe usunięcie), maskowania z wartościami nieodwracalnymi lub kryptograficznego haszowania danych o wysokiej entropii. Udokumentuj metodę i podstawę dla określenia anonimizacji.
Dla danych, które korzystają z kontrolowanej odwracalności (badania z wymaganiami ponownego kontaktu, ścieżki audytu, obowiązki odkrywania): wyraźnie klasyfikuj jako pseudonimizowane dane osobowe, utrzymuj wszystkie obowiązki GDPR, dokumentuj ustalenia dotyczące przechowywania klucza pseudonimizacji zgodnie z wymaganiami EDPB dotyczącymi separacji kluczy.
Wyraźna pięcio-metodowa struktura — Zastąp, Redaguj, Maskuj, Haszuj, Szyfruj — bezpośrednio mapuje się na tę klasyfikację: Zastąp, Maskuj i Szyfruj produkują dane pseudonimizowane (GDPR nadal ma zastosowanie). Redaguj i Haszuj (dane o wysokiej entropii) zbliżają się do prawdziwej anonimizacji (podlegają analizie kompletności i entropii).
Źródła: