Czym są dane zanonimizowane w RODO?

Analiza zanonimizowanych danych w ramach RODO pokazuje, że dane uważa się za zanonimizowane, gdy są “przetworzone w taki sposób, że osoba, której dane dotyczą, nie jest lub już nie jest możliwa do zidentyfikowania” (RODO, Motyw 26). Standard ten został doprecyzowany przez Grupę Roboczą Artykułu 29, która podkreśliła, że anonimizacja musi być nieodwracalna oraz że “ryzyko ponownej identyfikacji musi być znikome” (Opinia WP29 05/2014).

Kluczowe wnioski:

• Techniki anonimizacji:
  Powszechne metody obejmują agregację, maskowanie danych i randomizację. Jednakże, prawdziwa anonimizacja wymaga, aby żaden z tych procesów nie pozostawiał możliwości ponownej identyfikacji, nawet w połączeniu z innymi dostępnymi zbiorami danych (Ohm, 2010).

• Status prawny:
  Zanonimizowane dane nie wchodzą w zakres definicji danych osobowych i w związku z tym nie podlegają ograniczeniom RODO (RODO, art. 4 ust. 1).

  “Informacje, które nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, ani dane osobowe zanonimizowane w taki sposób, że osoba, której dane dotyczą, nie jest lub już nie jest możliwa do zidentyfikowania”, nie są danymi osobowymi (RODO, motyw 26).

• Wyzwania praktyczne:
  Badacze twierdzą, że absolutna anonimizacja jest rzadko osiągalna ze względu na postępy w analityce danych i rosnącą dostępność danych pomocniczych. Narayanan i Shmatikov (2008) wykazali, że zanonimizowane dane dotyczące oglądalności Netflixa można ponownie zidentyfikować poprzez powiązanie ich z ocenami z IMDb.

• Ryzyko ponownej identyfikacji:
  Ryzyko wzrasta, gdy zbiory danych są bogate lub gdy atakujący posiadają dodatkowe informacje. RODO wymaga przeprowadzenia testu “racjonalnego prawdopodobieństwa”: jeśli identyfikacja jest “racjonalnie prawdopodobna”, danych nie należy uważać za zanonimizowane.

• Pseudonimizacja a anonimizacja:
  RODO rozróżnia te dwa pojęcia:

  • Dane spseudonimizowane wciąż można przypisać do konkretnej osoby przy użyciu dodatkowych informacji.
  • Danych zanonimizowanych nie można przypisać do nikogo, nawet pośrednio.

Wyniki wskazują:

• Skuteczna anonimizacja wymaga solidnych środków technicznych i organizacyjnych, w tym bieżącej oceny ryzyka.
• Nawet po anonimizacji, administratorzy danych muszą zachować czujność wobec nowych technik ponownej identyfikacji.
• Błędne klasyfikowanie danych spseudonimizowanych lub niedostatecznie zanonimizowanych jako “anonimowe” może prowadzić do niezgodności z RODO.

Podsumowując, zanonimizowane dane w ramach RODO oznaczają nieodwracalnie pozbawione elementów identyfikujących informacje, w przypadku których identyfikacja nie jest możliwa przy użyciu wszelkich środków, których użycie jest “racjonalnie prawdopodobne”. Jednak ze względu na ewoluujące zagrożenia, niezbędna jest ciągła ocena procesów anonimizacji.