Anonimizacja a pseudonimizacja: stawką jest 20 mln euro
Artykuł 83 RODO przewiduje maksymalne kary w wysokości 20 milionów euro lub 4% globalnego rocznego obrotu. Jedno pytanie prawne decyduje o tym ryzyku: czy przepisy mają zastosowanie do Twojego zbioru danych?
Anonimizacja wyłącza dane z zakresu stosowania prawa. Pseudonimizacja nie. Ta różnica jest ogromna.
Dwie definicje w prostym języku
Motyw 26 RODO wyznacza próg anonimizacji. Osoba musi być „niemożliwa do zidentyfikowania lub nie możliwa dłużej do zidentyfikowania”. Test jest szeroki. Obejmuje wszelkie środki „z rozsądnym prawdopodobieństwem przeznaczone do użycia”. Dotyczy to administratora, ale też każdego podmiotu przetwarzającego i każdej osoby trzeciej.
Artykuł 4 ust. 5 RODO definiuje pseudonimizację. Dane są pseudonimizowane, gdy klucz może je odwrócić. Usuń klucz, a dane nadal istnieją. Te dodatkowe dane muszą być przechowywane oddzielnie. Nie jest to anonimizacja.
Dane pseudonimizowane pozostają danymi osobowymi. Prawo ma do nich pełne zastosowanie. Nie istnieje żadne wyłączenie z zakresu stosowania. Kropka.
Koszt błędnego oznaczenia
Potraktowanie danych pseudonimizowanych jako zanonimizowanych tworzy pięć problemów jednocześnie:
- Błędne wpisy w RCP na podstawie art. 30
- Brak procedury realizacji praw podmiotów danych w zakresie dostępu, usunięcia czy przenoszenia
- Brak harmonogramu retencji — nie istnieje wyzwalacz usunięcia
- Brak zabezpieczeń transferu dla pracy transgranicznej
- Brak ścieżki usunięcia dla żądań prawa do bycia zapomnianym
Każda luka stanowi osobne naruszenie. Wszystkie pięć mogą istnieć w jednym procesie przetwarzania.
Sygnał egzekucyjny z 2025 r.
W 2025 r. EROD przeprowadził wspólne ćwiczenie egzekucyjne. Raport wskazał jedno powtarzające się naruszenie: „nieskuteczne techniki anonimizacji stosowane jako alternatywa dla usunięcia danych”. Organy ochrony danych kontrolują teraz jakość anonimizacji. Sprawdzają nie tylko to, czy dany krok został wykonany, ale czy rzeczywiście jest skuteczny.
Zbiór danych tokenizowanych z tabelą przeglądową jest pseudonimizowany. Nie jest anonimowy. Posiada klucz. Klucz może odwrócić pseudonimizację. Nazywanie go „zanonimizowanym” to dokładnie ten błąd, który raport z 2025 r. wskazuje.
Wybór właściwej metody
Prawdziwa anonimizacja — poza zakresem prawa. Zastosuj Redagowanie. PII znikają bezpowrotnie, bez żadnego powiązania. Możesz też hashować wartości o wysokiej entropii bez możliwości odtworzenia. Udokumentuj podstawę. Dane wyjściowe nie podlegają żadnym obowiązkom prawnym.
Pseudonimizacja — w zakresie prawa. Zastosuj Zastąpienie, Maskowanie lub Szyfrowanie. Prawo ma pełne zastosowanie. Pseudonimizacja ogranicza szkody wynikające z naruszenia, ale nie ogranicza obowiązków prawnych.
Kontrolowana odwracalność — badania lub audyt. Zastosuj Szyfrowanie z kluczami przechowywanymi po stronie klienta. Zarządzanie kluczem musi spełniać zasady separacji kluczy z Wytycznych EROD 05/2022. Odnotuj domenę w DPIA.
Przykład z praktyki
Firma sprzedaje „zanonimizowane” dane klientów naukowcom. Stosuje metodę Redagowania. PII znikają. Brak tabeli tokenów. Brak obrazu wstępnego hasha. Nie istnieje ścieżka ponownej identyfikacji.
IOD dokumentuje to w DPIA: zastosowana metoda, rodzaje identyfikatorów, dlaczego operacji nie można cofnąć, poziom ryzyka szczątkowego. Dane wyjściowe wypadają z zakresu stosowania prawa. Prawa podmiotów danych i przepisy o transferach nie mają zastosowania do kopii badawczych.
Metoda jest spójna z twierdzeniem. To prawidłowy proces. Wytrzyma kontrolę.
Dlaczego dokumentacja ma znaczenie
Firma nie może po prostu twierdzić, że dane są zanonimizowane. Twierdzenie musi być udokumentowane. DPIA musi wykazać cztery rzeczy: które identyfikatory objęto, jaką zastosowano metodę, dlaczego ponowna identyfikacja jest niemożliwa oraz jaki jest poziom ryzyka szczątkowego.
Bez tej dokumentacji organ kontrolny traktuje zbiór danych jako objęty zakresem prawa. Stosuje się pełen zestaw obowiązków. Wpis w RCP musi istnieć. Zabezpieczenia transferu muszą istnieć. Ścieżka usunięcia musi istnieć. Żadne obowiązki nie zanikają bez dowodu.
Aby dowiedzieć się, jak prawo do usunięcia danych współdziała z danymi zanonimizowanymi, zob. RODO, prawo do bycia zapomnianym i wytyczne EROD 2025. W kwestii przepisów o transferach przy transgranicznym udostępnianiu danych zob. zgodność z przepisami o transferach i sprawa TikTok.