Az adatvédelmi szabályokat, így az EU új általános adatvédelmi rendeletének (GDPR) szabályait is személyes adatokra kell alkalmazni. Mi is az a személyes adat?
A GDPR alapján személyes adat azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
A személyes adat fogalmának egyik kulcseleme, hogy csak természetes személyre vonatkozó információ lehet (azaz például egy jogi személyre vonatkozó információk, pl. a cég neve, cégjegyzékszáma, székhelye nem minősülnek személyes adatnak). A másik kulcselem pedig, hogy azonosított vagy azonosítható természetes személyre (az érintettre) kell vonatkoznia. Nem kell tehát az azonosításnak feltétlenül megtörténnie, elegendő, ha a lehetőség adott az azonosításra ("azonosítható").
1. Anonimizálás
A fentiek alapján az anonimizált adatok tekintetében már nem kell alkalmaznia a személyes adatok védelmére vonatkozó szabályokat. Ahogy a GDPR is rögzíti a Preambulumában (26):
Az adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.
Fontos szempont és elvárás az anonimizációval kapcsolatban, hogy a kapcsolat ne legyen többé helyreállítható, azaz a természetes személy már nem azonosítható. Ez elsőre talán egyszerűnek tűnik, a gyakorlatban azonban számos kihívással találhatjuk szemben magunkat, hiszen a fejlődő technológiának is köszönhetően sokszor nem is olyan egyszerű feladat, hogy az adat és a természetes személy közötti kapcsolatot végérvényesen megszüntessük.
A 29-es Cikk szerinti Munkacsoport (WP29) 2014-ben kiadott egy véleményt az anonimizálási technikákról (Opinion 05/2014 on Anonymisation Techniques). A szingapúri adatvédelmi hatóság (Personal Data Protection Commission of Singapore) pedig 2018. januárjában adott ki egy összefoglalót az alapvető anonimizálási technikákról (Guide To Basic Data Anonymisation Techniques). Hasznos segítségnek bizonyulhat az angol adatvédelmi hatóság (ICO) 2012-es iránymutatása is (Anonymisation Code of Practice). Az Egyesült Királyságban egy külön szerveződés is létrejött arra, hogy a személyes adatok hatékony anonimizálásában segítséget nyújtson (UK Anonymisation Network).
2. Álnevesítés
Az anonim adatra tehát már nem alkalmazandók a személyes adatok védelmére vonatkozó szabályok. Ezzel szemben az álnevesített adatok továbbra is a személyes adatok védelmére vonatkozó szabályok hatókörében maradnak. Az álnevesítés lényege, hogy a személyes adatok védelme során ez az adatok magas szintű védelmének egyik eszköze. A GDPR maga is ismeri és meghatározza az álnevesítés fogalmát és számos ponton ajánlja az adatkezelőknek az álnevesítés alkalmazását.
A Rendelet Preambuluma (28) szerint:
A személyes adatok álnevesítése csökkentheti az érintettek számára a kockázatokat, valamint segíthet az adatkezelőknek és az adatfeldolgozóknak abban, hogy az adatvédelmi kötelezettségeiknek megfeleljenek.
A GDPR alapján az álnevesítés (pszeudonimizáció) a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.
A Rendelet az adatkezelők figyelmébe ajánlja az álnevesítést például:
- a beépített adatvédelem (25. cikk),
- az adatkezelés biztonsága (32. cikk),
- a magatartási kódexek (40. cikk)
kapcsán is.
Az adatkezelőknek az elszámoltathatóság alapelvére figyelemmel is érdemes lehet alkalmazniuk az álnevesítést, mint az adatok biztonságos kezelésének egyik eszközét, különösen olyan esetekben, amikor az adatkezelés valamilyen okból valószínűsíthetően magasabb kockázattal járhat az érintettekre nézve.
Az adatkezelés biztonsága érdekében tehát érdemes lehet az álnevesítés alkalmazása, de arról nem szabad megfeledkezni, hogy az álnevesített adatokra továbbra is alkalmazandóak az adatvédelmi szabályok, mert azok személyes adat jellegüket nem veszítik el.