Różnica 20 Milionów Euro
Artykuł 83 GDPR ustala maksymalne kary na poziomie 20 milionów euro lub 4% globalnych rocznych przychodów, w zależności od tego, która kwota jest wyższa, za najpoważniejsze naruszenia. Różnica między anonimizacją a pseudonimizacją decyduje o tym, czy GDPR w ogóle ma zastosowanie do zbioru danych — i czy maksymalne narażenie na karę ma zastosowanie.
Rozważanie 26 GDPR definiuje próg anonimizacji: "Zasady ochrony danych nie powinny zatem mieć zastosowania do informacji anonimowych, czyli informacji, które nie odnoszą się do zidentyfikowanej lub identyfikowalnej osoby fizycznej ani do danych osobowych zanonimizowanych w taki sposób, że osoba, której dane dotyczą, nie jest lub nie jest już identyfikowalna." Kluczowe zdanie: "nie jest lub nie jest już identyfikowalna" — w jakikolwiek sposób, który jest rozsądnie prawdopodobny do użycia przez administratora danych, jakiegokolwiek procesora lub jakąkolwiek stronę trzecią.
Artykuł 4(5) GDPR definiuje pseudonimizację: "przetwarzanie danych osobowych w taki sposób, że dane osobowe nie mogą być już przypisane konkretnej osobie, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane oddzielnie." Dane pseudonimizowane są wyraźnie nieanonimowe — "nie mogą być już przypisane... bez użycia dodatkowych informacji." Dane pseudonimizowane pozostają danymi osobowymi zgodnie z GDPR.
Praktyczne konsekwencje: organizacja, która uważa, że jej zbiór danych analitycznych jest "anonimizowany" (poza GDPR), gdy w rzeczywistości jest "pseudonimizowany" (w ramach GDPR), ma nieprawidłowe wpisy w artykule 30 ROPA, niewystarczające procedury dotyczące praw osób, których dane dotyczą, niewłaściwe okresy przechowywania, brak zabezpieczeń transferu danych dla wszelkiego przetwarzania analitycznego transgranicznego oraz brak mechanizmu do odpowiedzi na wnioski o prawo do usunięcia. Każda z tych niedociągnięć stanowi niezależne naruszenie GDPR.
Sygnalizacja Egzekwowania CEF
Koordynowany Ramowy Program Egzekwowania EDPB na 2025 rok szczególnie zidentyfikował "nieskuteczne techniki anonimizacji stosowane jako alternatywa dla usunięcia" jako powtarzające się naruszenie zgodności. To ustalenie sygnalizuje, że organy nadzorcze oceniają jakość anonimizacji, a nie tylko obecność lub brak kroku anonimizacji.
Przykład użycia danych analitycznych w Holandii ilustruje właściwe podejście: firma oferująca "anonimizowane" zbiory danych klientów badaczom zewnętrznym stosuje metodę Redact (trwałe usunięcie PII bez mapowania tokenów). Powstały zbiór danych nie ma drogi do reidentyfikacji — brak klucza, brak tabeli tokenów, brak preobrazu hasha — spełnia próg Rozważania 26 GDPR. Inspektor ochrony danych dokumentuje to ustalenie w DPIA: zastosowana metoda, typy identyfikatorów objęte, podstawa nieodwracalności, ocena ryzyka pozostałej reidentyfikacji. Zbiór danych znajduje się poza zakresem GDPR. Obowiązki GDPR (w tym prawa osób, których dane dotyczą, limity przechowywania i zabezpieczenia transferu) nie mają zastosowania do kopii badawczych osób trzecich.
Wybór Metody według Celu Zgodności
Poza zakresem GDPR (prawdziwa anonimizacja): Użyj Redact (trwałe usunięcie) lub Hash (o wysokiej entropii, nieprzewidywalnych wartościach). Udokumentuj podstawę anonimizacji. Żadne obowiązki GDPR nie mają zastosowania do wyniku.
W ramach zakresu GDPR z ograniczonym ryzykiem (pseudonimizacja): Użyj Replace, Mask lub Encrypt. Wszystkie obowiązki GDPR nadal mają zastosowanie. Pseudonimizacja zmniejsza ryzyko szkody związanego z nieautoryzowanym dostępem, ale nie usuwa zakresu GDPR.
Kontrolowana odwracalność (badania, audyt, odkrycie): Użyj Encrypt z kluczami przechowywanymi przez klienta. GDPR ma zastosowanie. Ustawienia przechowywania kluczy muszą spełniać wymagania dotyczące separacji kluczy zawarte w Wytycznych EDPB 05/2022. Udokumentuj domenę pseudonimizacji.
Źródła: