Co su kvazi-osobne udaje?
GDPR Clanok 4 pokryva akekolvek udaje, ktore mozu identifikovat osobu. Udaje nemusia priamo niekoho menovovat. Staci, aby umoznili identifikaciu prostrednictvom dalsich krokov.
Interne identifikatory zamestnancov su jasnym prikladom. Vezmite hodnotu "EMP-EU-123456". Tento retazec nikoho nenaziva. Ale HR system obsahuje jednoduchu vyhladavaciu tabulku. EMP-EU-123456 odkazuje na Mariu Schmidtovu, Seniorna Inzinierka, Mnichov. Kazdy s pristupom k tejto tabulke ju moze najst. Podla GDPR je toto ID osobny udaj.
Rovnake pravidlo plati aj pre ine interne kody:
- Cisla klientskych uctov, ktore odkazuju na zaznamy v CRM
- Projektove kody, ktore odkazuju na mena klientov v zmluvnych systemoch
- Cisla odkazov na pripady v pravnych suboroch
- Cisla zdravotnych zaznamov, ktore odkazuju na zaznamy pacientov
Odstranenie mien a e-mailov nestaci. Ak v subore zostanu interne identifikatory, re-identifikacia je iba dva kroky vzdialenosti.
Preco tato medzera vedie k pokutam
34 % vsetkych pokut GDPR sa tyka neadekvatnych technickych opatreni podla Clanku 32. Tento udaj pochadzza zo spravy DLA Piper 2025 GDPR Annual Report. Neschopnost detegovat kvazi-identifikujuce interne identifikatory patri do tejto kategorie.
EDPB vybavil v roku 2024 viac ako 900 pripadov v ramci koordinacneho mechanizmu. Cezhranicne vymahanie znamena, ze jedna medzera v zdielanych datasetoch moze viest k koordinovanemu konaniu napriec niekolgymi clenskimi statmi EU.
Standardne nastroje na ochranu osobnych udajov nachadzaju univerzalne vzory: mena, e-maily, telefonne cisla, narodne identifikatory. Nepoznaju vas interny format ID. Ziadny nastroj ho nepozna, kym mu to nepoviete. To je ta medzera.
Ako funguje tvorca vzoru bez kodu
Globalna logisticka spolocnost potrebuje anonymizovat zaznamy zamestnancov pre externy audit. Ich zamestnanecke ID pouzivaju tento format: EMP-[REGION]-[6 cislic]. Tri priklady: EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678.
Compliance tim vlozi tri priklady do pomocnika vzoru AI. AI vrati:
- Vzor:
EMP-[A-Z]{2,4}-\d{6} - Zodpoveda vsetkym trom prikladom
- Navrhnuty nazov entity: EMPLOYEE-ID
- Odporucany dalsi krok: otestovat s viacerymi kodmi regionov
Tim otestuje dalsich desaf vzoriek. Vzor funguje pre vsetky.
Ulozia vlastnu entitu do zdielaneho GDPR prednastavenia timu. Vsetkych 47 dokumentov v baliku auditu sa spracuje v jednej davke. Kazde zamestnanecke ID je nahradene rolovo zalozitym stitkom. Auditna firma dostane subory, ktore uz neodkazuju na ziadnu jednotlivcu.
Netreba ziadna pomocna inzinierstna pomoc. Cely setup trva menej ako hodinu.
Co nasleduje
Ak je vlastna entita ulozena v zdielaNom prednastaveni, vsetci clenovia timu pouzivaju rovnake nastavenie. Novy personel ho dostane na prvom dni. Davkove ulohy, volania API a rucne nahravania pouzivaju rovnaky vzor.
Auditny zaznam zobrazuje, ktore prednastavenie bolo pouzite pre kazdy subor. Ak DPA pozada o dukazy vasho procesu anonymizacie, mozete ich predlozit.
Pre cely pracovny postup nastavenia vlastnej entity pozrite vlastne PII identifikatory pre organizacnu anonymizaciu. Pre udrzanie tohto nastavenia konzistentneho napriec timami pozrite prednastavenia konzistentnosti anonymizacie pre audit GDPR.