Различие в 20 Миллионов Евро
Статья 83 GDPR устанавливает максимальные штрафы в размере 20 миллионов евро или 4% от глобального годового дохода, в зависимости от того, что больше, за самые серьезные нарушения. Различие между анонимизацией и псевдонимизацией определяет, применяется ли GDPR к набору данных вообще — и применяется ли максимальная сумма штрафа.
Рассмотрение 26 GDPR определяет порог анонимизации: "Принципы защиты данных, следовательно, не должны применяться к анонимной информации, а именно информации, которая не относится к идентифицированному или идентифицируемому физическому лицу или к персональным данным, сделанным анонимными таким образом, что субъект данных не может быть или больше не может быть идентифицирован." Ключевая фраза: "не может быть или больше не может быть идентифицирован" — любыми средствами, которые разумно могут быть использованы контролером данных, любым процессором или любой третьей стороной.
Статья 4(5) GDPR определяет псевдонимизацию: "обработка персональных данных таким образом, что персональные данные больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно." Псевдонимные данные явно не являются анонимными — они "больше не могут быть отнесены... без использования дополнительной информации." Псевдонимные данные остаются персональными данными в соответствии с GDPR.
Практическое следствие: организация, которая считает, что ее аналитический набор данных "анонимизирован" (вне GDPR), когда на самом деле он "псевдонимизирован" (внутри GDPR), имеет неправильные записи в Статье 30 ROPA, недостаточные процедуры прав субъектов данных, неадекватные сроки хранения, отсутствующие меры по защите передачи данных для любой трансграничной аналитической обработки и отсутствие механизма для ответа на запросы о праве на удаление. Каждое из этих недостатков является независимым нарушением GDPR.
Сигнал Исполнения CEF
Координированная рамка исполнения EDPB на 2025 год специально выделила "неэффективные методы анонимизации, используемые в качестве альтернативы удалению" как повторяющееся нарушение соблюдения. Эта находка сигнализирует о том, что уполномоченные органы по защите данных оценивают качество анонимизации, а не только наличие или отсутствие шага анонимизации.
Случай использования голландской компании по аналитике данных иллюстрирует правильный подход: компания, предлагающая "анонимизированные" наборы данных клиентов третьим лицам, использует метод Redact (постоянное удаление PII без сопоставления токенов). В результате полученный набор данных не имеет пути к повторной идентификации — ни ключа, ни таблицы токенов, ни хеш-преобразования — что соответствует порогу Рассмотрения 26 GDPR. DPO документирует это решение в DPIA: используемый метод, типы идентификаторов, охваченные, основание необратимости, оценка остаточного риска повторной идентификации. Набор данных находится вне области применения GDPR. Обязанности GDPR (включая права субъектов данных, ограничения на хранение и меры защиты передачи) не применяются к копиям исследований третьих лиц.
Выбор Метода в Соответствии с Целью Соблюдения
Вне области применения GDPR (истинная анонимизация): Используйте Redact (постоянное удаление) или Hash (высокоэнтропийные, неугадываемые значения). Документируйте основание анонимизации. Обязанности GDPR не применяются к результату.
Внутри области применения GDPR с уменьшенным риском (псевдонимизация): Используйте Replace, Mask или Encrypt. Все обязательства GDPR продолжают применяться. Псевдонимизация снижает риск ущерба от несанкционированного доступа, но не исключает область применения GDPR.
Контролируемая обратимость (исследования, аудит, раскрытие): Используйте Encrypt с ключами, хранящимися у клиента. GDPR применяется. Соглашения о хранении ключей должны соответствовать требованиям EDPB Guidelines 05/2022 по разделению ключей. Документируйте область псевдонимизации.
Источники: