Neprístupný dokument, nutné prihlásenie
Input:

Pseudonymizácia a anonymizácia osobných údajov ako požiadavka GDPR

9.12.2017, , Zdroj: Verlag Dashöfer

3.4 Pseudonymizácia a anonymizácia osobných údajov ako požiadavka GDPR

PhDr. Peter Veselý, PhD.


Pseudonymizáci a anonymizácia osobných údajov ako požiadavka nariadenia GDPR - NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) v platnosti od 25.05.2018, spôsobuje zmenu v technológiách a procesoch v organizáciách.

Podľa GDPR nariadenia pod pojmom „pseudonymizácia” je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe. Nariadenie GPDR teda zavádza v podstate celkom nový koncept v európskom práve na ochranu osobných údajov – pseudonymizáciu – pre proces, ktorý narába s údajmi ani nie anonymnými, ale ani priamo identifikujúcimi. Keďže ide o nový koncept, je potrebné sa s týmto konceptom vyrovnať buď vývojom nových funkcionalít v existujúcich softvéroch alebo implementáciou s existujúcimi nástrojmi, ktoré sú už na trhu.

Existujúci zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov už v súčasnej úprave definuje v §4 ods. 3 písm. i) pojem anonymizovaný osobný údaj, kde anonymizovaným údajom osobný údaj upravený do takej podoby, v ktorej ho nemožno priradiť dotknutej osobe, ktorej sa týka. Anonymizácia je teda taký proces, ktorý sa zaoberá takou zmenou osobných údajov, po ktorej už tieto osobné údaje nemožno prideliť určitému zistiteľnému jednotlivcovi, alebo tak možno urobiť len s vynaložením nepomerne veľkého úsilia z hľadiska času, nákladov a práce.

Existuje množstvo diskusií na tému, do akého rozsahu môžu byť pseudonymizované údaje opätovne identifikované. Opätovná identifikácia má rozhodujúci význam, pretože výrazne určuje, či konkrétna operácia spracúvania osobných údajov bude alebo nebude v súlade s ustanoveniami nariadenia GDPR, ktoré sa zameriava na riziko, že údaje odhalia identifikovateľné osoby. Zásadným rozdielom medzi pseudonymizovanými údajmi, ktoré sú priamo upravené v GDPR, a anonymnými údajmi, ktoré v nariadení upravené nie sú, ale boli upravené zákonom č.122/2013 Z.z., je teda to, či je možné osobné údaje znovu zistiť s primeraným úsilím z hľadiska času, nákladov a práce. Pre definovanie problému opätovnej identifikácie osobných údajov je nutné rozlišovať medzi priamymi a nepriamymi identifikátormi. Priame identifikátory môžeme definovať ako dáta, ktoré možno použiť na identifikáciu osoby bez dodatočných informácií, ktoré priamo prezrádzajú totožnosť osoby, napríklad meno či kontaktné informácie. Nepriame identifikátory sú údaje, ktoré neidentifikujú osobu izolovane, ale môžu odhaliť individuálnu totožnosť v kombinácii s ďalšími údajmi, napríklad dátum narodenia, pohlavie a PSČ. Výsledkom je, že osoba nemôže byť identifikovaná len na základe dátumu narodenia, no v kombinácii s pohlavím a poštovým smerovacím číslom sa výber dokáže zúžiť na konkrétnu osobu.

Pseudonymizácia teda zahŕňa odstránenie alebo zamaskovanie priamych identifikátorov a v určitých prípadoch aj nepriamych identifikátorov, ktoré by mohli spolu odhaliť totožnosť konkrétnej osoby. Takto pseudonymizované údaje sa uchovávajú v samostatnej databáze, ktorá môže byť prepojená s

 
 Váš názor
Čo by ste zmenili na tomto portáli?
 Úspešne odoslané
Input: