Уточнение EDPB от января 2025 года
Руководство Европейского совета по защите данных 01/2025 по псевдонимизации, опубликованное в январе 2025 года, представило несколько уточнений с значительными последствиями для соблюдения норм для организаций, использующих инструменты анонимизации данных.
Самое важное уточнение: руководство вводит концепцию "псевдонимизационного домена" — набора сторон, для которых псевдонимизированные данные остаются связными с реальными людьми. Псевдонимизированные данные являются персональными данными в соответствии с GDPR для любой стороны в пределах псевдонимизационного домена (сторон, которые держат ключ псевдонимизации или могут его получить). В руководстве прямо указано, что псевдонимизированные данные не меняют своего статуса персональных данных — они остаются подвержены всем обязательствам GDPR — даже если они кажутся неидентифицируемыми для сторон за пределами домена.
Это уточнение затрагивает организации, которые считали, что "токенизация" или "псевдонимизация с ключами" исключили их данные из сферы применения GDPR. В соответствии с руководством от января 2025 года это не так. Организация, обладающая ключом псевдонимизации, остается контролером данных по GDPR для псевдонимизированных данных.
Разрыв в маркетинге инструментов
Многие инструменты, рекламируемые как "инструменты анонимизации", на самом деле производят псевдонимизированные данные. Различие:
Истинная анонимизация (необратимая): Преобразование не может быть обращено никакой стороной, с использованием любых доступных сейчас или в будущем средств. Истинная анонимизация полностью исключает данные из сферы применения GDPR.
Псевдонимизация (обратимая): Преобразование может быть обращено с использованием ключа, таблицы поиска или дополнительной информации, хранящейся отдельно. Псевдонимизация не исключает данные из сферы применения GDPR — они остаются персональными данными для сторон, которые держат или могут получить ключ.
Системы на основе токенов (замена PII на постоянные токены и ведение таблицы соответствия), системы на основе шифрования (замена PII на зашифрованные значения и ведение ключа расшифровки) и шифрование с сохранением формата все производят псевдонимизированные данные. Данные остаются персональными данными в соответствии с руководством EDPB от января 2025 года.
Хеширование (применение функции одностороннего хеширования к значениям PII) ближе к анонимизации — если функция хеширования криптографически безопасна и никакой поиск предобраза не осуществим — но в руководстве EDPB отмечается, что хеширование данных с низкой энтропией (короткие строки, такие как имена или общие идентификаторы) уязвимо для атак радужных таблиц и может не составлять истинную анонимизацию.
Стратегия соблюдения в соответствии с новыми руководствами
DPO необходимо пересмотреть свою стратегию классификации данных в свете руководства EDPB от января 2025 года:
Для данных, классифицированных как "анонимизированные" (вне сферы применения GDPR): переоценить, действительно ли преобразование необратимо. Если любая сторона может его обратить — включая самого контролера данных — это псевдонимизировано, и GDPR все еще применяется.
Для данных, которые должны оставаться вне сферы применения GDPR (для аналитики, архивирования или исследований): используйте методы необратимой анонимизации — редактирование (постоянное удаление), маскировка с не восстанавливаемыми значениями или криптографическое хеширование данных с высокой энтропией. Документируйте метод и основание для определения анонимизации.
Для данных, которые выигрывают от контролируемой обратимости (исследования с требованиями повторного контакта, аудиторские следы, обязательства по раскрытию): явно классифицируйте как псевдонимизированные персональные данные, соблюдайте все обязательства GDPR, документируйте условия хранения ключа псевдонимизации в соответствии с требованиями EDPB по разделению ключей.
Явная структура из пяти методов — Заменить, Редактировать, Маскировать, Хешировать, Шифровать — напрямую соответствует этой классификации: Заменить, Маскировать и Шифровать производят псевдонимизированные данные (GDPR все еще применяется). Редактировать и Хешировать (данные с высокой энтропией) приближаются к истинной анонимизации (подлежат анализу полноты и энтропии).
Источники: