Sú pseudonymizované a anonymizované údaje osobnými údajmi?

Keď sme úplne po prvýkrát čítali GDPR, hľadali sme najmä rozdiely oproti v tom čase platnej smernici. Skrátka sme sa snažili zistiť, čo všetko budeme musieť doimplementovať, aby sme splnili požiadavky nového nariadenia. Tak sme natrafili aj na pseudonymizáciu údajov. Toto bola úplná novinka v podobe odporúčaného bezpečnostno-technického opatrenia. Jej definíciu sme našli v článku 4 GDPR. Pseudonymizácia je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe. To, že pseudonymizácia spadá pod bezpečnostné opatrenia, sme našli v článku 25 ods. 1 GDPRSo zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, prevádzkovateľ v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania prijme primerané technické a organizačné opatrenia, ako je napríklad pseudonymizácia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je minimalizácia údajov, a začlení do spracúvania nevyhnutné záruky s cieľom splniť požiadavky tohto nariadenia a chrániť práva dotknutých osôb.. Podľa recitálu 28 použitie pseudonymizácie osobných údajov môže znížiť riziká pre príslušné dotknuté osoby a pomôcť prevádzkovateľom a sprostredkovateľom pri plnení ich povinností v oblasti ochrany údajov. Výslovné zavedenie „pseudonymizácie“ v tomto nariadení nie je určené na to, aby sa vylúčili akékoľvek iné opatrenia na ochranu údajov.

Z definície nám vyplynulo, že pseudonymizácia je „len“ opatrenie na zabezpečenie ochrany osobných údajov, pričom dané údaje naďalej ostávajú osobnými údajmi.

Na miesto toho anonymizácia je taký spôsob úpravy (výmazu) osobných údajov, po ktorom sa viac o daných údajoch nedá hovoriť ako o osobných. Po takto vykonanej procedúre ostanú prevádzkovateľovi len „torzá“ pôvodných údajov (napríklad pohlavie, vek, kraj bydliska a pod.), resp. tak agregované údaje, z ktorých sa nedá identifikovať dotknutá fyzická osoba. Druhou možnosťou je, že prevádzkovateľ od počiatku nezískava osobné údaje, t. j. databáza údajov, ktoré je anonymizovaná. Aj z toho dôvodu GDPR hovorí, že sa na spravovanie anonymných údajov nevzťahujeRecitál 26 GDPR: Zásady ochrany údajov by sa preto nemali uplatňovať na anonymné informácie, konkrétne na informácie, ktoré sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je identifikovateľná. Toto nariadenie sa preto netýka spracúvania takýchto anonymných informácií vrátane spracúvania na štatistické účely alebo účely výskumu.. Anonymizované (anonymné) údaje teda nie sú nikdy osobnými údajmi.

Autor: JUDr. Paula Babicová