A spanyol adatvédelmi hatóság (AEPD) és az európai adatvédelmi biztos (EDPS) közös tájékoztatót tett közzé az anonimizálást övező tévhitekről és az ezeket cáfoló tényekről. Az anonimizálás komoly gyakorlati jelentőséggel bír, hiszen - amint azt a GDPR Preambuluma is rögzíti -
[a]z adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve. (Preambulum (26))
Éppen ezért nem mindegy, hogy egy adott adatbázisban szereplő információk valóban anonimnak tekinthetők-e, megfelelő eljárással anonimizálták-e ezeket.
Az alábbiakban - röviden - a tájékoztatóban szereplő gyakori tévhiteket és az ezekkel szemben álló tényeket mutatom be.
1. Az álnevesítés (pszeudonimizálás) és az anonimizálás azonos jelentéssel bírnak.
A gyakorlatban számos esetben fordul elő a két fogalom szinonimaként történő alkalmazása. Ezzel szemben a helyzet az, hogy az álnevesítés nem azonos az anonimizálással, mivel az álnevesített adatok továbbra is személyes adatnak minősülnek, szemben az anonim adatokkal. Az álnevesítés egy adatbiztonsági intézkedés, amelyet a GDPR is többször említ, mint adatvédelmi szempontból ajánlott megoldást.
2. A titkosítás és az anonimizálás azonosak egymással.
A titkosítás nem egy anonimizálásra alkalmas technika, ugyanakkor az álnevesítésnek hatékony eszköze lehet. A titkosítás esetén a folyamat visszafordítható, így az adatok újra hozzáférhetővé, olvashatóvá tehetők. Kérdés, hogy az adatok titkosítása esetén a titkosítás feloldásához szükséges kulcs törlése esetén anonim adatokat kapunk-e. A válasz nem feltétlenül egyértelmű, mivel számos szempontot mérlegelni kell ilyenkor is, pl. azt, hogy milyen technológiával történt a titkosítás, illetve - a kulcs hiányában - milyen lehetőségek állhatnak rendelkezésre a visszafejtésre, figyelemmel a technológiai fejlődésre is (pl. kvantumszámítógépek megjelenése).
3. Az anonimizálás mindig lehetséges.
Bizonyos esetekben, illetve bizonyos adatkörök esetében az újbóli azonosíthatóság lehetőségét, illetve ennek a kockázatát nem lehet kizárni vagy elég alacsonyra csökkenteni (pl. ha az érintetti csoport, amelyre az adatok vonatkoznak elég kicsi vagy az adatbázis nagyszámú demográfiai vagy lokációs adatot tartalmaz).
4. Az anonimizálás örökre szól.
Egyes anonimizációs technikák esetében - hosszabb távon - nem zárható ki az újbóli azonosíthatóság lehetősége. Új technológiák megjelenése vagy új adathalmazok rendelkezésre állása ahhoz vezethet, hogy a korábban anonimnak minősülő adatok újból személyes adattá tehetők. Éppen ezért kiemelkedő jelentősége van annak, hogy milyen technikával történik az anonimizálás és időről-időre validálni szükséges, hogy az megfelel a céloknak.
5. Az anonimizálás minden esetben nullára csökkenti az újbóli azonosíthatóság kockázatát.
A megfelelő anonimizációs technika kiválasztása kulcsfontosságú. Megfelelő és robosztus megoldást kell választani, ugyanakkor lehetnek olyan esetek, amikor ennek ellenére nem csökkenthető nullára az újbóli azonosíthatóság kockázata. A kockázatok értékelésekor, illetve a visszafordíthatóság lehetőségének mérlegelésekor az érintett adathalmaz sajátosságaira figyelemmel kell eljárni.
6. Az anonimizálás egy bináris eljárás, amely nem mérhető.
Az anonimzálás mérhető és értékelhető, lehetőség van annak megállapítására, hogy adott technika alkalmazása mellett az érintett adatkör tekintetében milyen mértékben marad fenn a visszafordíthatóság kockázata.
7. Az anonimizálás teljesen automatizálható.
A folyamat akár nagymértékben is automatizálható lehet, ugyanakkor a szakértői emberi beavatkozás nem kerülhető meg, ugyanis számos tényezőt kell értékelni a folyamatban (pl. az adatbázis jellegét, az alkalmazandó anonimizációs technikát, a visszafordíthatóság kockázatát, stb.).
8. Az anonimizálás használhatatlanná teszi az adatokat.
Az anonimizálás természetesen kizárhatja az adatok bizonyos, személyhez kötött felhasználásának lehetőségét, ugyanakkor nem jelenti azt, hogy az adatok - műs célokra - használhatatlanokká válhatnak (pl. bizonyos elemzési statisztikai célokra).
9. A mások által sikeresen alkalmazott anonimizációs technika más szervezetek által is hasonló eredménnyel alkalmazható.
Az alkalmazott anonimizációs technikát az adott helyzetre kell szabni, figyelemmel az érintett adatkörre, a technológiai és egyéb működési sajátosságokra is. Máshol sikeresen alkalmazott technikák kiindulási alapot jelenthetnek, de nem lehet elkerülni, hogy az alkalmazást gondos vizsgálat és a sajátosságok megfelelő értékelése előzze meg.
10. Nem merül fel annak a kockázata és nincs olyan érdek, hogy az adatok (újból) személyhez kötésre kerüljenek.
A személyes adatok önmagukban értéket jelenthetnek, éppen ezért az adatok újbóli személyessé tétele valós veszélyt jelenthet, amely az érintett jogaira és szabadságaira nézve hatással járhat. Az adatok újbóli személyessé válása több módon is megtörténhet (szándékolt támadás révén, incidens következtében, az adatok nyilvánosságra kerülése útján). Annak a lehetősége, hogy erre sor kerüljön (akár véletlenül vagy szándékos, visszaélést célzó magatartás révén) nem hagyható figyelmen kívül, ezért a visszafordíthatóság lehetőségét és kockázatát megfelelően értékelni szükséges.