Анонимизация или псевдонимизация: на кону 20 млн евро
Статья 83 устанавливает максимальный штраф в размере 20 млн евро или 4% от мирового годового оборота. Один юридический вопрос определяет весь этот риск: распространяется ли закон на ваш массив данных?
Анонимизация выводит данные из сферы действия закона. Псевдонимизация — нет. Разница принципиальная.
Два определения простым языком
Рецитал 26 устанавливает критерий анонимизации: человек должен быть «неидентифицируемым или более не идентифицируемым». Этот критерий широк: он охватывает все средства, «разумно вероятно, что могут быть использованы». Это включает оператора, любого обработчика и любую третью сторону.
Статья 4(5) определяет псевдонимизацию: записи считаются псевдонимизированными, если ключ позволяет их восстановить. Уберите ключ — данные остаются. Этот дополнительный элемент должен храниться отдельно. Псевдонимизация — это не анонимизация.
Псевдонимизированные записи остаются персональными данными. Закон применяется в полном объёме. Никаких исключений из сферы его действия не предусмотрено. Точка.
Цена ошибочной классификации
Отношение к псевдонимизированному массиву данных как к анонимному порождает пять нарушений одновременно:
- Неверные записи в реестре деятельности по обработке данных согласно статье 30
- Отсутствие процедуры реализации прав субъектов данных — на доступ, удаление или перенос
- Отсутствие графика хранения данных — нет триггера для удаления
- Отсутствие гарантий при трансграничной передаче для международной деятельности
- Отсутствие механизма удаления при поступлении запросов на реализацию права на удаление
Каждый из этих пробелов является самостоятельным нарушением. Все пять могут существовать в одном процессе обработки данных.
Сигнал правоприменительной практики 2025 года
В 2025 году EDPB провёл скоординированное надзорное мероприятие. В отчёте названо одно систематическое нарушение: «использование неэффективных методов анонимизации в качестве альтернативы удалению данных». Национальные надзорные органы теперь проверяют качество анонимизации — не только наличие самого шага, но и его реальную эффективность.
Токенизированный массив данных со справочной таблицей является псевдонимизированным, а не анонимным: у него есть ключ, позволяющий восстановить исходные данные. Называть его анонимным — именно та ошибка, на которую направлен отчёт 2025 года.
Выбор подходящего метода
Подлинная анонимизация — за пределами сферы действия закона. Используйте метод удаления: персональные данные уничтожаются без возможности восстановления. Можно также хешировать значения с высокой энтропией без возможности нахождения прообраза. Задокументируйте основание. К результату не применяются юридические обязательства.
Псевдонимизация — в сфере действия закона. Используйте методы замены, маскирования или шифрования. Закон применяется в полном объёме. Псевдонимизация снижает ущерб от утечки, но не освобождает от юридических обязательств.
Управляемая обратимость — для исследований или аудита. Используйте шифрование с ключами, находящимися у клиента. Хранение ключей должно соответствовать правилам разделения ключей из Руководства EDPB 05/2022. Укажите домен в DPIA.
Практический пример
Компания продаёт «анонимизированные» клиентские записи исследователям. Применяется метод удаления: персональные данные уничтожаются, таблица токенов отсутствует, прообраз хеша — тоже. Пути для повторной идентификации нет.
DPO фиксирует это в DPIA: применённый метод, типы идентификаторов, обоснование необратимости, уровень остаточного риска. Результат выведен из сферы действия закона: права субъектов данных и правила о трансграничной передаче не применяются к исследовательским копиям.
Метод соответствует заявленному результату — это правильный подход, который выдержит проверку при аудите.
Почему документация имеет значение
Одних заявлений об анонимизации недостаточно: они должны быть подкреплены документами. В DPIA необходимо отразить четыре вещи: какие идентификаторы были охвачены, какой метод применялся, почему повторная идентификация невозможна, каков уровень остаточного риска.
Без такой документации аудитор считает массив данных находящимся в сфере действия закона и применяет весь комплекс обязательств: запись в реестр деятельности по обработке данных, гарантии при трансграничной передаче, механизм удаления. Ни одно обязательство не снимается без доказательств.
О взаимодействии права на удаление с анонимизированными данными читайте в статье «Право на удаление по GDPR и Руководство EDPB 2025». О правилах трансграничной передачи при обмене данными — в статье о соответствии требованиям при передаче данных и штрафе TikTok.