Paradoks: De-identificirani podatki se še vedno obdelujejo pod GDPR
Veliko podjetij je moteno tem zakonitostjo:
"Če so podatki de-identificirani, niso osebni podatki, zato GDPR ne velja, zato jih lahko obdelujemo kamor koli, tudi v ZDA."
To je nepravilno. Razlog:
- GDPR se nanaša na obdelava podatkov, ne samo na samih podatkov
- Obdelava se morajo zgoditi v EU (ali v drugem primerno varnostnem območju), pri čemer se podatki obdelajo
- Tudi de-identifikacija je obdelava
To je TikTok paradoks: TikTok je podjetje, ki obdeluje podatke na amerikašnih strežnikih - tudi če podatki postanejo anonimni v ZDA, je sam proces obdelave (de-identifikacija) bil izvršen v ZDA, kar je kršitev.
Kaj je obdelava pod GDPR?
GDPR Člen 4(2) opredelja obdelavo kot:
"Katerakoli operacija, ki se izvaja na osebnih podatkih, kot so zbiranje, pisanje, organiziranje, upravljanje, prilagajanje, branje, dostop, uporaba, razkritje s prenosom, razširjanjem, prilagajanjem, blokiranje, brisanje ali uničenje podatkov."
To vključuje:
- Analizo: Analiza podatkov je obdelava
- Transformacija: Heširanje, maskiranja je obdelava
- Shranjevanje: Samo hranjenje podatkov je obdelava
- Prenos: Pošiljanje podatkov nekje je obdelava
- De-identifikacija: Proces de-identifikacije je obdelava
Zato, če orodje za anonimizacijo obdeluje podatke na amerikašnih strežnikih, je to kršitev GDPR Člena 5(1)(a) (zakonitost), tudi če je rezultat anonimen.
Kako TikTok izgubi
TikTok je trdil, da podatki, ko so enkrat v ZDA, niso omejeni s GDPR. Irska podatkovnaurana je rekla: Ne, obdelava mora biti v EU ali v primerokompetitivnem kraju.
To je preizkušenost v GDPR, ki se imenuje "Place of Processing" (Člen 4(11)):
"Obdelava se dogaja tam, kjer je sistem, ki obdeluje podatke, fizično lokaliziran."
Zato:
- Če je orodje za anonimizacijo na amerikašnem strežniku, je obdelava v ZDA
- Tudi če je podatke anonimen, je bil proces obdelave v ZDA
- Zato je kršitev
Kaj je rešitev? Lokalna obdelava
Rešitev je enostavna: Obdelava mora biti v EU.
Možnost 1: EU-based SaaS
Uporabite orodje za anonimizacijo, ki:
- Deluje na EU strežnikih
- Ima svoje pravo podatkovnarine (npr. GDPR skladnost)
- Ima SCCs ali drugega varnostnega mehanizma
Primeri: anonym.legal (strežniki v DE), Strac (EU), Nightfall (ima EU opcijo).
Možnost 2: On-premises obdelava
Inštalacija orodja v notranjih strežnikih:
- Podatki se nikoli ne pošljejo v ZDA
- Obdelava je v vaših prostorih
- Nobena GDPR omejitev
Primeri: Presidio (open-source), Strac (on-prem opcija).
Možnost 3: Lokalna AI model
Uporabite lokalne modele (ne API):
- Model se napravi na lokalnem napitatu (ali EU)
- Podatki se nikoli ne pošljejo v tretje strani
- Obdelava je lokalna
Primer: spaCy (open-source, napravljas v Python lokalno).
Kako ovrednotiti "delovanja strežnika"
Red podjetji pravijo, da so "EU-based" ampak so dejansko na AWS ZDA. Vprašanja za preverjanje:
- Fizična lokacija: Kje je strežnik fizično lociran? (Datacentra)
- Zakonodaja: Kaj je tuji podatkovnaurana?
- Jurisdiction: Kateremu sodišču bi bila gospodska?
- Backup lokacije: Kje so varnostne kopije?
Primeri "varnih" lokacij:
- Nemčija: Hetzner (Nuremburg), DigitalOcean (Frankfurt) → Nemška zakonodaja
- Švica: Amazon Lightsail Switzerland (Zurich) → Švicarska zakonodaja (GDPR-ekvivalentna)
- Belgija: Brussels (OVH Belgija) → Belgijska zakonodaja