Bruxelles, 17. siječnja - EDPB usvaja prve smjernice za pseudonimizaciju. Smjernice će biti na javnom savjetovanju do kraja veljače 2025., dajući zainteresiranim stranama priliku za komentiranje.
Opća uredba o zaštiti osobnih podataka uvodi pojam 'pseudonimizacija' i kao zaštitnu mjeru koja može biti prikladna i učinkovita za ispunjavanje obveza zaštite podataka. EDPB u svojim smjernicama pojašnjava definiciju i primjenjivost pseudonimizacije i pseudonimiziranih podataka te prednosti pseudonimizacije.
Smjernice daju dva važna pravna pojašnjenja (logično se nadovezuju na ranija stajališta nadzornih tijela):
Smjernice također objašnjavaju kako pseudonimizacija može pomoći organizacijama da ispune svoje obveze u vezi s provedbom načela zaštite podataka (čl. 5. GDPR-a), zaštite podataka prema dizajnu i prema zadanim postavkama (čl. 25. GDPR-a) i sigurnosti (čl. 32. GDPR-a).
Konačno, one analiziraju tehničke i zaštitne mjere kada se koristi pseudonimizacija s ciljem osiguranja povjerljivosti i sprječavanja neovlaštene identifikacija pojedinaca.
Uvode koncept "pseudonymisation domain" - kontrolirano okruženje u kojem organizacije moraju spriječiti pripisivanje podataka određenim pojedincima. Ovaj koncept obuhvaća tehničke sustave, organizacijske procese i zaposlenike uključene u aktivnosti obrade podataka.
Pri provođenju kriptiranja, smjernice navode da voditelji obrade moraju koristiti ili kriptografske jednosmjerne funkcije kao što su kodovi za provjeru autentičnosti poruke (MACs) ili algoritme šifriranja s dovoljnom entropijom u svojim skrivenim parametrima. EDPB napominje da "lookup" tablice predstavljaju alternativni pristup, iako zahtijevaju da potencijalno veliki skupovi osobnih podataka budu sigurno pohranjeni.
Navode se tri primarna mehanizma za pseudonimizaciju:
Svaki mehanizam služi u različite svrhe ublažavanja rizika dok istovremeno omogućuje specifične vrste analize podataka.
Smjernice postavljaju stroge zahtjeve za zaštitu "tajni pseudonimizacije" - kriptografskih ključeva ili "lookup" tablica koji omogućuju ponovnu identifikaciju. Organizacije moraju primijeniti tehničke i organizacijske mjere koje osiguravaju da te "tajne" ostanu nedostupne neovlaštenim stranama unutar domene pseudonimizacije.
Za prekogranične prijenose, EDPB nalaže da pseudonimizacija može poslužiti kao dopunska mjera samo kada uvoznik podataka ne posjeduje niti može dobiti dodatne informacije potrebne za ponovnu identifikaciju.
Smjernice se posebno bave primjerima koji uključuju prijenose podataka u zemlje koje nemaju odgovarajuće standarde zaštite podataka.
Što se tiče prava ispitanika, smjernice pojašnjavaju da pojedinci zadržavaju svoja GDPR prava na pristup i prenosivost za pseudonimizirane podatke osim ako voditelj obrade dokaže da nije u mogućnosti identificirati ispitanika u skladu s člankom 11.
Voditelji obrade moraju omogućiti ova prava uz održavanje sigurnosti sustava pseudonimizacije.
Dokument nudi deset detaljnih primjera provedbe, u rasponu od scenarija interne analize do slučajeva prekograničnog prijenosa. Ovi primjeri ilustriraju praktične primjene pseudonimizacije u zdravstvu, zapošljavanju i komercijalnom kontekstu.
EDPB naglašava da sama pseudonimizacija ne osigurava usklađenost s GDPR-om, već služi kao jedna od komponenti sveobuhvatne strategije zaštite podataka. Voditelji obrade moraju procijeniti učinkovitost svojih mjera pseudonimizacije u odnosu na specifične kontekste obrade i rizike.
U svakom slučaju, smjernice predstavljaju tehničke zahtjeve koji mogu predstavljati izazov organizacijama koje implementiraju pseudonimizaciju u komercijalnim okruženjima.
Smjernice će biti podvrgnute javnoj raspravi do 28. veljače 2025. Konačna verzija uspostavit će obvezujuća tumačenja za tijela za zaštitu podataka u cijelom Europskom gospodarskom prostoru.
Aplikacija pruža medicinske savjete na temelju opisa simptoma koje su korisnici unijeli u aplikaciju. Vlasnik aplikacije je zadužio jedan od svojih odjela za obavljanje kontrole kvalitete. U tijeku kontrole kvalitete utvrđuje se (podacima prikupljenim uz izričitu suglasnost korisnika aplikacije) jesu li izdani savjeti u skladu s medicinskim spoznajama te se utvrđuje je li i koje pacijente potrebno obavijestiti u kritičnim slučajevima gdje je aplikacija dala neprikladan savjet. Kako bi se ispunila posljednja svrha, analizirani podaci trebaju zadržati vezu s ispitanicima. Obavijesti pacijentima ne izdaje izravno odjel za kontrolu kvalitete, već redovno operativno osoblje. Potrebno je stoga očuvati vezu između podataka i ispitanika, istovremeno osiguravajući usklađenost s načelom smanjenja podataka, čl. 5(1)(c) GDPR, i standardom zaštite podataka, čl. 25. stavak 2. GDPR-a, posebno u pogledu pristupa podacima koji omogućuje pripisivanje podataka ispitanicima, kao i smanjenje rizika povjerljivosti čime se pridonosi usklađenosti s čl. 5(1)(f) GDPR.
Zapisi koji sadrže izvorne podatke: ID korisnika, token uređaja, simptome koje je zabilježila aplikacija, dani savjeti, povratne informacije korisnika (nije obavezno).
Zapisi koji sadrže pseudonimizirane podatke: pseudonim temeljen na ID-u korisnika, (kategorizirani) simptomi koje bilježi aplikacija, dani savjeti, povratne informacije korisnika.
Odjel za kontrolu kvalitete dobiva (pseudonimizirane) podatke koje prima pozadina aplikacije. Članovi odjela nisu uključeni i nemaju daljnji pristup podacima koji proizlaze iz pružanja usluga. Ukoliko postoji potreba za informiranjem nositelja podataka, prenosi se pseudonim i poruka operativnom odjelu. Operativni odjel ima pristup dodatnim informacijama. Stoga je u stanju identificirati korisnike i prenijeti im poruke koristeći uslugu obavijesti i token uređaja.
Tvrtka upravlja velikom web trgovinom za razne proizvode. Podaci o kupnjama kupaca pohranjuju se i prikazuju na korisničkim računima. Tvrtka namjerava izvući podatke iz temeljne baze podataka kako bi pronašla korelacije između kupljenih proizvoda ili usluga. Problem koji treba riješiti - zbog širokog spektra proizvoda i usluga koje nudi WebShop, evidencija o kupnji može omogućiti donošenje značajnih zaključaka u vezi s ispitanicima i može omogućiti procjenu osobnih aspekata koji se odnose na ekonomsku situaciju, zdravlje, osobne preferencije, interese ili ponašanje ispitanika.
Kako bi se osobni podaci smatrali kompatibilnima sa svrhom za koju su osobni podaci prvobitno prikupljeni i kako bi se izbjeglo profiliranje kupaca prema kriterijima iz čl. 4(4) GDPR, podaci se moraju obrađivati na način da ih analitičari više ne mogu pripisati određenim ispitanicima.
Postupak pseudonimizacije - Tvrtka izdvaja povijest kupnje izostavljajući sve individualizirane unose i atribute koji izravno identificiraju korisnika kao ispitanika, te dodjeljuje analizu organizacijskoj jedinici analitičara bez pristupa daljnjim podacima o kupcima.
Obrada pseudonimiziranih podataka - Analitičari provode željenu analizu i sažimaju rezultate u zbirnom obliku. Nakon toga organizacijska jedinica briše sve osobne podatke koje posjeduje.
Obrada izvršena na ovaj način vjerojatno neće utjecati na ispitanike. Voditelj obrade može koristiti ovaj učinak pseudonimizacije u svojoj ocjeni kompatibilnosti svrha prema čl. 6(4) GDPR. Uzimajući u obzir i druge čimbenike navedene u čl. 6. stavak 4. GDPR-a i ovisno o posebnostima konkretnog slučaja, procjena može dovesti do zaključka da se svrha analize može smatrati kompatibilnom sa svrhom za koju su osobni podaci prvobitno prikupljeni.
Tvrtka koristi usluge "Identity Provider" za identifikaciju i autentifikaciju klijenata. Društvo ne čuva informacije o identitetu svojih kupaca, ali pohranjuje sve podatke označene pseudonimom koji je korisniku dodijelio "Identity Provider". Kada kupac zahtijeva svoja prava na pristup ili prenosivost podataka, Društvo ne pokušava utvrditi identitet kupca, već - nakon odgovarajućeg informiranja svojih klijenata o ovom procesu - koristi komunikacijski kanal koji već postoji između ispitanika i voditelja obrade putem "Identity Providera". Nakon identifikacije ispitanika, potonji može dostaviti autentični pseudonim Društvu, koje zauzvrat daje kupcu kopiju njegovih podataka. Imajte na umu da se čl. 11(2) GDPR primjenjuje, a čl. 15. i 20. se ne primjenjuju ako ispitanici nisu u mogućnosti dati pseudonim koji se na njih odnosi i potkrijepiti taj odnos, npr. u slučaju da su se odjavili iz usluge "Identity Providera".