Anonymizace, pseudonymizace a šifrování osobních údajů jako bezpečnostní opatření dle GDPR

Anonymizace

Anonymisation. Pseudonymization. Encryption

Několik anglických slov řeckého původu, které se budou díky GDPR v několika nadcházejících měsících používat stále častěji. Jak je pochopit, proč je důležité se vyvarovat jejich záměně a jejich využití při implementaci nařízení, vysvětlíme v následujícím příspěvku.

Proč hledat rozdíly

Už před přijetím GDPR platilo, že regulace ochrany osobních údajů se nevztahuje na anonymizované údaje, tzn. údaje, na základě kterých, už subjekt údajů není identifikovatelný1. Toto pravidlo zůstává zachované i od května 20182. GDPR se však v plném rozsahu uplatní pro zpracování pseudonymizovaných či anonymizovaných údajů.

S velkou pravděpodobností vás proto bude zajímat, zda při svých zpracovatelských činnostech dokážete namísto údajů umožňujících identifikaci konkrétní fyzické osoby využít výhradně anonymizované údaje a vyhnout se tak záplavě souvisejících povinností. To, že skutečně pracujete s anonymizovanými údaji, je důležité spolehlivě ověřit. Jinak byste brzy mohli čelit nepříjemnému překvapení s potencionálně nákladnými následky.

Teorie podle GDPR

Pokusíme se o stručný přehled:

Anonymizace je proces, při kterém se z datového souboru nevratně odstraní všechny osobní údaje, bez možnosti zpětné identifikace konkrétní fyzické osoby. Anonymizovaný soubor nejenom neobsahuje žádné údaje o fyzických osobách či identifikátory (jako je nově např. i IP adresa nebo lokalizační údaj3), ale také vylučuje možnost opětovného, resp. zpětného propojení s takovými údaji a konkrétní osobou. Takto upravený soubor údajů je možné využít bez uplatnění ustanovení GDPR.

Pseudonymizace může v praxi představovat velmi podobný proces, při kterém se však osobní údaje v souboru odstraní, případně jen nahradí, a to takovým způsobem, že identifikace konkrétní fyzické osoby bude po přiřazení dodatečných údajů možná4. Pojmově tedy nejde o nevratný proces, ale jen o dočasné funkční oddělení určitého „podsouboru údajů“ od ostatních údajů, které společně identifikaci umožňují. Náročnost tohoto procesu bude v praxi záviset na množství a typu zpracovaných osobních údajů, technického způsobu, jakým jsou zpracované a mnohých dalších faktorů. V některých případech může stačit smazat první sloupec myšlené tabulky, v jiných případech bude nutný složitější algoritmus a pokročilé softwarové nástroje. GDPR tuto techniku uznává jako jedno z možných technických opatření pro zajištění ochrany
a bezpečnosti osobních údajů.

Šifrování je dle GDPR možné definovat jako metodu, na základě které se z osobních údajů stanou údaje „nečitelné pro všechny osoby, které nejsou oprávněny mít k nim přístup,“5 tj. pro všechny osoby, které nemají k dispozici příslušné přístupové klíče. Podobně jako u pseudonymizace se jedná z pohledu GDPR o vhodné technické opatření pro zvýšení bezpečnosti při zpracování osobních údajů. Problémem této metody je však snížená využitelnost zabezpečených údajů, protože šifrované údaje není možné např. prohledávat nebo podobným způsobem dále zpracovávat bez jejich předchozího odšifrování.

Anonymita jako technologická otázka

Jak jsme výše uvedli, anonymizace údajů přímo souvisí s identifikovatelností konkrétního člověka. Teoretická možnost identifikace fyzické osoby je však v době, kdy nás na každém kroku sledují satelity, senzory a čipy našich inteligentních zařízení, poměrně kontroverzním bodem pro diskuzi.

V odborných kruzích se dlouhodobě vedou debaty o tom, zda dokonalá anonymizace není v prostředí „big data“ spíše utopická představa. Tyto názory se objevují v reakci ba úspěšné pokusy deidentifikovat konkrétní fyzické osoby z údajně anonymních souborů telekomunikačních údajů, údajů o platebních kartách či údajů z různých sociologických výzkumů6. Dále také údaje, které se dnes možná tváří jako anonymní by budoucí technologie mohla být schopná přiřadit ke konkrétní osobě, spojit je s jinými údaji a docílit tak přesně to, čemu se regulace snaží zabránit. Pro představu je možné využít jednoduchou portrétovou fotografii. Ta vám kdysi sama o sobě neumožnila zřejmě odhalit konkrétní fyzickou osobu, ale dnes díky funkcím „face detection“ bez problému dovede k profilu na sociálních sítích či k odkazu na webu zaměstnavatele osoby na ní zachycené.

Aby byla celá diskuze ještě složitější, konzervativnější výklad dosavadní legislativy nasvědčoval tomu, že pokud existuje jakékoliv teoretické riziko zpětného odhalení konkrétní fyzické osoby, o anonymizované údaje se nejedná. Zdá se, že GDPR reaguje na stížnosti trhu, že tento výklad jde za hranici technologických možností a hledá schůdnější řešení. V recitálech se zavádí kritérium „přiměřené pravděpodobnosti“, které má vzít do úvahy „(…) objektivní faktory, jako jsou náklady a čas potřebný na identifikace se zřetelem na technologii dostupnou v čase zpracování, jako na technologický vývoj.“

Ve prospěch tohoto výkladu hovoří také nedávno publikovaná metodika britského Information Commissioner´s Office s názvem Anonymisation: managing data protection risk code of practice7, která výslovně uvádí, že 100% anonymizace je sice ideální, není však absolutně nutným řešením, pokud je riziko potencionální deidentifikace možné vnímat jako „vzdálené“.

Výše uvedená metodika obsahuje několik doporučených metod a testů pro ověření její spolehlivosti. Kromě její praktické implementace a pravidelné kontroly její spolehlivosti je možné doporučit i písemné zmapování celého procesu, které by se mělo stát součástí interní dokumentace týkající se ochrany osobních údajů v rámci společnosti či organizace pro účely případné kontroly ze strany dozorového úřadu. V případech, kdy je správce podle GDPR povinný vykonat tzv. posouzení vlivu na ochranu osobních údajů (tzv. „DPIA“), posouzení spolehlivosti využité metody by mělo být také jeho součástí.

Klíčová pseudonymizace

Na základě výše uvedeného je možné shrnout, že zpracování výhradně anonymizovaných osobních údajů bude v praxi poměrně vzácné. Oproti tomu šifrování je technologicky poměrně náročné a jeho využitelnost je omezená.

Dá se proto říci, že pro každodenní účely bude klíčovým pojmem právě pseudonymizace. Hlavní uplatnění by mohla najít při předávání údajů mezi provozovateli
a zprostředkovateli (resp. správci a zpracovateli – pro ty, kterým se tyto pojmy zdají srozumitelnější). V případech, kdy dodavatel dokáže svoje smluvní povinnosti splnit bez zpracování skutečných osobních údajů, měli by mu být v souladu se zásadou minimalizace poskytnuté pseudonymizované údaje. Je také užitečné z pohledu některých interních procesů, nejméně ve vztahu k agendě oddělení lidských zdrojů a financí, resp. účetnictví, ke kterým by v plném rozsahu měli mít přístup jen vybraní pracovníci dle jejich funkce. Takový postup značně snižuje rizika spojené s odevzdáváním údajů jiné osobě a pomůže prokázat, že společnost si na ochraně zpracovaných údajů doopravdy zakládá.


  1. Recitál 26 Směrnice 95/46/ES
  2. Taktéž Recitál 26 Nařízení
  3. Recitál 30 Nařízení
  4. Recitál 26 Nařízení
  5. Článek 34 odst. 3 písm. a) Nařízení
  6. Viz napr. Boer Deng: People identified through credit-card use alone, dostupné z http://www.nature.com/news/people-identified-through-credit-card-use-alone-1.16817 ; Adam Tanner: Harvard Professor Re-Identifies Anonymous Volunteers In DNA Study, dostupné z https://www.forbes.com/sites/adamtanner/2013/04/25/harvard-professor-re-identifies-anonymous-volunteers-in-dna-study/#6c48dd9a92c9
  7. Dostupné z https://ico.org.uk/media/1061/anonymisation-code.pdf