Akcja egzekucyjna EDPB z 2025 roku
Skoordynowane ramy egzekucji (CEF) Europejskiego Urzędu Ochrony Danych z 2025 roku miały na celu artykuł 17 GDPR — prawo do usunięcia danych. Trzydzieści dwa organy ochrony danych w UE i EOG jednocześnie badały, jak organizacje reagują na wnioski o usunięcie danych. Skoordynowane podejście miało na celu zidentyfikowanie systemowych niezgodności, a nie pojedynczych przypadków odstępstw.
Wyniki zidentyfikowały siedem powtarzających się wyzwań dotyczących zgodności w badanych organizacjach:
- Słabo udokumentowane wewnętrzne procedury przetwarzania wniosków o usunięcie danych
- Nadmiernie szerokie odrzucanie uzasadnionych wniosków (zbyt szerokie stosowanie dozwolonych wyjątków)
- Niekonieczne obciążenia nałożone na osoby fizyczne przy składaniu wniosków o usunięcie danych
- Niemożność zlokalizowania wszystkich danych osobowych w systemach podczas przetwarzania wniosku o usunięcie danych
- Nadmierne opóźnienia w przetwarzaniu wniosków przekraczające 30-dniowy okres odpowiedzi GDPR
- Niewystarczająca komunikacja z osobami, których dane dotyczą, na temat wyników ich wniosków
- Nieskuteczne techniki anonimizacji stosowane jako alternatywa dla usunięcia — szczególnie wskazane jako organizacje stosujące technicznie wadliwą "anonimizację", która pozostawia dane możliwe do ponownego zidentyfikowania
Dziewięć organów ochrony danych rozpoczęło formalne dochodzenia na podstawie wyników CEF. Siódme powtarzające się wyzwanie — nieskuteczna anonimizacja — jest bezpośrednio istotne dla organizacji, które stosują anonimizację jako swoją główną strategię minimalizacji danych.
Alternatywa anonimizacji dla usunięcia
Prawo do usunięcia danych w GDPR nie wymaga usunięcia we wszystkich przypadkach. Rozważenie 65 wskazuje, że usunięcie może być osiągnięte poprzez anonimizację, gdy usunięcie nie jest technicznie wykonalne (na przykład w taśmach zapasowych lub zintegrowanych systemach analitycznych, gdzie usunięcie pojedynczych rekordów wymagałoby rekonstrukcji systemu).
Wyniki CEF EDPB wskazują, że ta alternatywa jest nadużywana: organizacje twierdzą, że "anonimizacja" dotyczy transformacji danych, która pozostawia dane technicznie możliwe do ponownego zidentyfikowania — używając tego słowa, aby uniknąć operacyjnego obciążenia rzeczywistego usunięcia, a nie w celu osiągnięcia wyniku ochrony danych, który anonimizacja ma zapewnić.
Rozróżnienie, które EDPB wprowadza: prawdziwa anonimizacja — gdzie związek między danymi a osobą nie może być przywrócony żadnymi środkami dostępnymi dla administratora danych lub jakiejkolwiek strony trzeciej — usuwa dane z zakresu GDPR i zaspokaja wniosek o usunięcie. Pseudonimizacja — gdzie ponowna identyfikacja jest możliwa przy użyciu odpowiedniego klucza — nie zaspokaja wniosku o usunięcie; dane osobowe osoby, której dane dotyczą, nadal istnieją i muszą zostać usunięte lub klucz musi zostać zniszczony.
Praktyczna strategia zgodności
Dla organizacji stosujących anonimizację jako alternatywę dla usunięcia w systemach analitycznych:
Prawidłowa architektura oddziela pobieranie danych (surowe dane osobowe) od analizy danych (anonimizowane pochodne). Dane osobowe w warstwie pobierania podlegają wnioskom o usunięcie — gdy osoba, której dane dotyczą, korzysta z praw artykułu 17, dane osobowe w warstwie pobierania są usuwane. Anonimizowane pochodne w warstwie analitycznej — jeśli anonimizacja była kompleksowa i nieodwracalna — nie muszą być modyfikowane, ponieważ nie są już danymi osobowymi.
Ta architektura wymaga, aby anonimizacja na granicy między pobieraniem a analizą była technicznie solidna: nieodwracalna (nie tokenizacja), kompleksowa (wszystkie kategorie identyfikatorów uwzględnione) i udokumentowana (organizacja może wykazać organowi ochrony danych, że metoda anonimizacji spełnia standardy EDPB). Firma detaliczna, która anonimizuje historię zakupów klientów przed przetwarzaniem analitycznym, zastępując imiona i dane kontaktowe tokenami w ramach odwracalnego szyfrowania, zrealizowała pseudonimizację (a nie anonimizację) danych — zestaw danych analitycznych nadal zawiera dane osobowe, które podlegają wnioskom o usunięcie.
Źródła: