Принудительное действие EDPB в 2025 году
Координированная рамка принудительного исполнения (CEF) Европейского совета по защите данных в 2025 году нацелилась на статью 17 GDPR — право на удаление. Тридцать два органа по защите данных по всему ЕС и ЕЭЗ одновременно исследовали, как организации реагируют на запросы на удаление. Координированный подход был разработан для выявления системных недостатков, а не отдельных случаев.
В результате были выявлены семь повторяющихся проблем соблюдения среди исследованных организаций:
- Плохо документированные внутренние процедуры обработки запросов на удаление
- Чрезмерно широкое отклонение законных запросов (слишком широкое использование разрешенных исключений)
- Неправомерные нагрузки на физических лиц при подаче запросов на удаление
- Неспособность найти все персональные данные в системах при обработке запроса на удаление
- Чрезмерные задержки в обработке запросов сверх 30-дневного срока ответа по GDPR
- Недостаточная коммуникация с субъектами данных о результатах их запросов
- Неэффективные методы анонимизации, используемые в качестве альтернативы удалению — специально отмечены как организации, использующие технически дефектную "анонимизацию", которая оставляет данные подлежащими повторной идентификации
Девять ОПД инициировали формальные расследования на основе выводов CEF. Седьмая повторяющаяся проблема — неэффективная анонимизация — непосредственно касается организаций, которые используют анонимизацию в качестве своей основной стратегии минимизации данных.
Анонимизация как альтернатива удалению
Право на удаление по GDPR не требует удаления во всех случаях. Рецитал 65 отмечает, что удаление может быть осуществлено через анонимизацию, когда удаление технически невозможно (например, в резервных копиях или интегрированных аналитических системах, где удаление отдельных записей потребовало бы реконструкции системы).
Выводы CEF EDPB указывают на то, что эта альтернатива злоупотребляется: организации утверждают "анонимизацию" для преобразования данных, которое оставляет данные технически подлежащими повторной идентификации — используя это слово, чтобы избежать операционной нагрузки фактического удаления, а не для достижения результата защиты данных, который анонимизация должна обеспечить.
Различие, которое проводит EDPB: истинная анонимизация — когда связь между данными и индивидуумом не может быть восстановлена никакими средствами, доступными контроллеру данных или третьей стороне — исключает данные из сферы действия GDPR и удовлетворяет запрос на удаление. Псевдонимизация — когда повторная идентификация возможна с соответствующим ключом — не удовлетворяет запрос на удаление; персональные данные субъекта данных все еще существуют и должны быть удалены, или ключ должен быть уничтожен.
Практическая стратегия соблюдения
Для организаций, использующих анонимизацию как альтернативу удалению в аналитических системах:
Правильная архитектура разделяет ввод данных (сырые персональные данные) от анализа данных (анонимизированные производные). Персональные данные на уровне ввода подлежат запросам на удаление — когда субъект данных реализует права статьи 17, персональные данные на уровне ввода удаляются. Анонимизированные производные на уровне аналитики — если анонимизация была полной и необратимой — не требуют модификации, поскольку они больше не являются персональными данными.
Эта архитектура требует, чтобы анонимизация на границе между вводом и анализом была технически обоснованной: необратимой (не токенизацией), полной (все категории идентификаторов учтены) и документированной (организация может продемонстрировать ОПД, что метод анонимизации соответствует стандартам EDPB). Розничная компания, которая анонимизирует историю покупок клиентов перед обработкой аналитики, заменяя имена и контактные данные токенами под обратимой шифровкой, псевдонимизировала (а не анонимизировала) данные — набор данных для аналитики все еще содержит персональные данные, подлежащие запросам на удаление.
Источники: