Τι είναι τα Ανωνυμοποιημένα Δεδομένα στον GDPR;

Η ανάλυση των ανωνυμοποιημένων δεδομένων βάσει του GDPR αποκαλύπτει ότι τα δεδομένα θεωρούνται ανωνυμοποιημένα όταν «καθίστανται ανώνυμα κατά τρόπο ώστε το υποκείμενο των δεδομένων να μην ταυτοποιείται ή να μην είναι πλέον ταυτοποιήσιμο» (GDPR, Αιτιολογική σκέψη 26). Το πρότυπο αυτό διευκρινίστηκε από την Ομάδα Εργασίας του Άρθρου 29, η οποία τόνισε ότι η ανωνυμοποίηση πρέπει να είναι μη αναστρέψιμη και ότι «ο κίνδυνος εκ νέου ταυτοποίησης πρέπει να είναι αμελητέος» (WP29 Γνωμοδότηση 05/2014).

Βασικά ευρήματα:

• Τεχνικές ανωνυμοποίησης:
  Οι συνήθεις μέθοδοι περιλαμβάνουν τη συσσώρευση, την απόκρυψη δεδομένων και την τυχαιοποίηση. Ωστόσο, η πραγματική ανωνυμοποίηση απαιτεί καμία από αυτές τις διαδικασίες να μην αφήνει καμία πιθανότητα για εκ νέου ταυτοποίηση, ακόμη και όταν συνδυάζεται με άλλα προσβάσιμα σύνολα δεδομένων (Ohm, 2010).

• Νομικό καθεστώς:
  Τα ανωνυμοποιημένα δεδομένα δεν εμπίπτουν στον ορισμό των δεδομένων προσωπικού χαρακτήρα και, ως εκ τούτου, δεν υπόκεινται στους περιορισμούς του GDPR (GDPR, Άρθρο 4(1)).

  «Οι πληροφορίες που δεν αφορούν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή δεδομένα προσωπικού χαρακτήρα που καθίστανται ανώνυμα κατά τρόπο ώστε το υποκείμενο των δεδομένων να μην ταυτοποιείται ή να μην είναι πλέον ταυτοποιήσιμο» δεν αποτελούν δεδομένα προσωπικού χαρακτήρα (GDPR Αιτιολογική σκέψη 26).

• Πρακτικές προκλήσεις:
  Οι ερευνητές υποστηρίζουν ότι η απόλυτη ανωνυμοποίηση είναι σπάνια εφικτή λόγω της προόδου στην ανάλυση δεδομένων και της αυξανόμενης διαθεσιμότητας βοηθητικών δεδομένων. Οι Narayanan και Shmatikov (2008) απέδειξαν ότι τα απο-ταυτοποιημένα αρχεία προβολών του Netflix θα μπορούσαν να ταυτοποιηθούν εκ νέου μέσω της σύνδεσής τους με τις αξιολογήσεις του IMDb.

• Κίνδυνος εκ νέου ταυτοποίησης:
  Ο κίνδυνος αυξάνεται όταν τα σύνολα δεδομένων είναι πλούσια ή όταν οι επιτιθέμενοι διαθέτουν γενικές πληροφορίες. Ο GDPR απαιτεί μια δοκιμή «εύλογης πιθανότητας»: εάν η ταυτοποίηση είναι «εύλογα πιθανή», τα δεδομένα δεν θα πρέπει να θεωρούνται ανωνυμοποιημένα.

• Ψευδωνυμοποίηση έναντι ανωνυμοποίησης:
  Ο GDPR διακρίνει μεταξύ των δύο:

  • Τα ψευδωνυμοποιημένα δεδομένα μπορούν ακόμα να αποδοθούν σε ένα πρόσωπο με πρόσθετες πληροφορίες.
  • Τα ανωνυμοποιημένα δεδομένα δεν μπορούν να αποδοθούν, ούτε καν έμμεσα.

Τα αποτελέσματα υποδεικνύουν:

• Η αποτελεσματική ανωνυμοποίηση απαιτεί ισχυρά τεχνικά και οργανωτικά μέτρα, συμπεριλαμβανομένων των συνεχών εκτιμήσεων κινδύνου.
• Ακόμη και μετά την ανωνυμοποίηση, οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να παραμένουν σε επαγρύπνηση για νέες τεχνικές εκ νέου ταυτοποίησης.
• Ο λανθασμένος χαρακτηρισμός ψευδωνυμοποιημένων ή ανεπαρκώς ανωνυμοποιημένων δεδομένων ως «ανώνυμων» μπορεί να οδηγήσει σε μη συμμόρφωση με τον GDPR.

Συνοπτικά, τα ανωνυμοποιημένα δεδομένα βάσει του GDPR σημαίνουν μη αναστρέψιμα απο-ταυτοποιημένες πληροφορίες, όπου η δυνατότητα ταυτοποίησης δεν είναι εφικτή με κανένα μέσο που «είναι εύλογα πιθανό να χρησιμοποιηθεί». Ωστόσο, λόγω των εξελισσόμενων απειλών, η συνεχής αξιολόγηση των διαδικασιών ανωνυμοποίησης είναι απαραίτητη.