Čo je pseudo-anonymizácia?
Pseudo-anonymizácia je proces, pri ktorom sa osobné údaje spracovávajú tak, že sa už nedajú priradiť špecifickej osobe bez použitia dodatočných informácií (ako je kľúč). Je to reverzibilný proces — na rozdiel od ireverzibilnej anonymizácie.
Príklad pseudo-anonymizácie:
- Originálny údaj: John Doe, john@example.com, 123 Main St
- Pseudo-anonymizovaný údaj: ID_12345, ID_12345@masked.com, ID_12345 Address
- Dodatočná informácia (kľúč): ID_12345 = John Doe (uložené oddelene)
EDPB smery 2025
V roku 2025 vydal EDPB (Boards of Supervisory Authorities) nové smery na pseudo-anonymizáciu:
1. Pseudo-anonymizácia nie je anonymizácia
GDPR sa STÁLE vzťahuje na pseudo-anonymizované údaje. Pokiaľ si myslíte, že hashovaním e-mailu (md5(john@example.com)) ste splnili anonymizáciu, ste v omyle. GDPR považuje hashované e-maily za pseudo-anonymizované, nie anonymizované.
2. Reverzibilita je faktor
Pokiaľ je údaj reverzibilný (t.j. hashovaný e-mail možno vyhľadať spätne, alebo máte kľúč na dešifrovanie), GDPR sa vzťahuje. Znamená to:
- Musíte mať právny základ (čl. 6)
- Musíte mať zásadu „minimalizácie údajov" (čl. 5)
- Musíte informovať ľudí (čl. 13/14)
3. Technicko-organizačné opatrenia
EDPB zdôrazňuje, že pseudo-anonymizácia musí byť sprevádzaná silnými bezpečnostnými opatreniami:
- Šifrovanie na čiare (v tranzite)
- Šifrovanie v pokoji (na disku)
- Kontrola prístupu (kto môže vidieť kľúč)
- Audit a monitorovanie (kto pristupuje k údajom)