Що таке анонімізовані дані в GDPR?

Аналіз анонімізованих даних згідно з GDPR показує, що дані вважаються анонімізованими, коли їх “знеособлено таким чином, що суб'єкт даних не ідентифікується або більше не може бути ідентифікований” (GDPR, Recital 26). Цей стандарт був роз'яснений Робочою групою за статтею 29, яка наголосила, що анонімізація повинна бути незворотною і що “ризик повторної ідентифікації має бути незначним” (WP29 Opinion 05/2014).

Ключові висновки:

• Техніки анонімізації:
  Поширені методи включають агрегацію, маскування даних та рандомізацію. Однак, справжня анонімізація вимагає, щоб жоден із цих процесів не залишав можливості для повторної ідентифікації, навіть у поєднанні з іншими доступними наборами даних (Ohm, 2010).

• Правовий статус:
  Анонімізовані дані не підпадають під визначення персональних даних і, отже, на них не поширюються обмеження GDPR (GDPR, Art. 4(1)).

  “Інформація, яка не стосується ідентифікованої або ідентифікованої фізичної особи, або персональні дані, знеособлені таким чином, що суб'єкт даних не ідентифікується або більше не може бути ідентифікований” не є персональними даними (GDPR Recital 26).

• Практичні виклики:
  Дослідники стверджують, що абсолютна анонімізація рідко досяжна через розвиток аналітики даних та зростаючу доступність допоміжних даних. Narayanan та Shmatikov (2008) продемонстрували, що деідентифіковані записи переглядів на Netflix можна повторно ідентифікувати, пов'язавши їх з рейтингами на IMDb.

• Ризик повторної ідентифікації:
  Ризик зростає, коли набори даних є великими або коли зловмисники володіють додатковою інформацією. GDPR вимагає проведення тесту “обґрунтованої ймовірності”: якщо ідентифікація є “обґрунтовано ймовірною”, дані не слід вважати анонімізованими.

• Псевдонімізація проти анонімізації:
  GDPR розрізняє ці два поняття:

  • Псевдонімізовані дані все ще можуть бути пов'язані з особою за допомогою додаткової інформації.
  • Анонімізовані дані не можуть бути пов'язані з особою, навіть опосередковано.

Результати свідчать:

• Ефективна анонімізація вимагає надійних технічних та організаційних заходів, включаючи постійну оцінку ризиків.
• Навіть після анонімізації, контролери даних повинні залишатися пильними щодо нових технік повторної ідентифікації.
• Неправильна класифікація псевдонімізованих або недостатньо анонімізованих даних як “анонімних” може призвести до недотримання GDPR.

Отже, анонімізовані дані згідно з GDPR означають незворотно деідентифіковану інформацію, де ідентифікація неможлива будь-якими засобами, які “обґрунтовано ймовірно будуть використані”. Проте, через еволюцію загроз, необхідна постійна оцінка процесів анонімізації.