PSEUDONYMIZACE - GDPR
Jak již bylo řečeno v článku Definice osobních údajů podle GDPR, anonymní údaje nepodléhají Obecnému nařízení neboť neexistuje pouto mezi těmito údaji a subjektem údajů. Občas však dochází k záměně pojmů mezi údaji anonymizovanými a pseudonymizovanými.
Pseudonymizace je definována v Obecném nařízení jako zpracování osobních údajů takovou formou, že nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací. Tyto dodatečné informace musí být z principu oddělené od zbytku informací o fyzické osobě a musí být technicky a organizačně zabezpečené.
Využití pseudonymizace snižuje „riziko zpracování“. Je tedy velice vhodným nástrojem pro široké skupiny správců osobních údajů, kteří tímto sníží míru své odpovědnosti. Přímo v Obecném nařízení je pseudonymizace zmíněna jako vhodné technické a organizační opatření pro zabezpečení osobních údajů.
Velikou výhodou je, že pseudonymizovaná data lze předávat dalším zpracovatelům, kteří tato data mohou využít pro účely správce a zaslat mu zpět výstupy nebo pro své vlastní účely pracují-li pouze s částí dat, dle které fyzickou osobu nelze identifikovat.
Příkladem může být evidence zákazníků obchodu s obuví pro statistické účely a následné marketingové zpracování do věrnostního programu:
Jméno |
Příjmení |
Adresa |
věk |
město |
pohlaví |
Velikost bot |
Průměrná roční útrata |
Počet zakoupených položek/rok |
Marie |
Omáčková |
V ulici 3, Praha |
30 |
Praha |
žena |
39 |
2.000 |
3 |
František |
Omáčka |
V ulici 3, Praha |
30 |
Praha |
muž |
42 |
2.000 |
2 |
00001 |
30 |
Praha |
žena |
39 |
2.000 |
3 |
||
00002 |
30 |
Praha |
muž |
42 |
2.000 |
2 |
Modrá pole sama o sobě jsou údaje anonymní. Nelze podle nich fyzickou osobu identifikovat a GDPR se na ně proto nevztahuje. V praxi je proto může správce uchovávat a zpracovávat dle libosti i bez zabezpečení a ochrany.
Žlutá pole pak právě tvoří tzv. Pseudonymizované údaje. V praxi jsou pak pod číselným kódem v prvním sloupci ve speciální databázi pod heslem uloženy osobní (červeně označené) údaje. Ostatní údaje (ty modré) jsou v jiné databázi, zpracovávají se samostatně. V případě potřeby je možné data propojit s konkrétní fyzickou osobou. K čemuž má oprávnění minimální počet osob.
V případě dotazů k tomuto článku prosím kontaktuje jeho autora (Jana Pavlovičová).
Tento i všechny ostatní články zveřejněné na těchto stránkách vyjadřují názor jejich autorů, nejde o právně závazné dokumenty.