Вплив анонімізації та псевдонімізації на визначення інформації як персональних даних за GDPR

З кожним днем все більше компаній стикаються з проблемою захисту персональних даних. Оскільки контроль над компаніями щодо належного захисту даних все більше посилюється, варто приділити особливу увагу щодо останніх кращих практик, щоб уникнути боротьби із потенційними негативними наслідками витоку даних. Тому потреба в надійному захисті даних завжди залишається актуальною, зважаючи, що все частіше з’являється інформація про нові рекордні штрафи через порушення захисту даних.

У цій статті ми розповімо про особливості анонімізації та псевдонімізації даних, вплив і значення їхнього застосування в реальному житті, а також проаналізуємо останні зі знакових справ, у тому числі справу Суду Європейського Союзу T-557/20, яка проллє світло на юридичні тонкощі навколо анонімізації та псевдонімізації даних.

Псевдо- та анонімізація даних: ключові особливості

Анонімізація даних означає опрацювання даних у спосіб, який унеможливлює ідентифікацію особи. Загальний регламент захисту даних (Загальний регламент, GDPR) не визначає, які саме способи анонімізації даних слід використовувати в межах законодавства ЄС. Основна мета – це результат, тобто анонімізовані дані мають бути такими, що не дозволяють ідентифікувати суб’єкта даних за допомогою «усіх», «ймовірних» і «розумних» засобів (“all” “likely” and “reasonable” means).

У Преамбулі 26 Загального регламенту вказано: 

“To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly”.

Тому анонімізовані дані виключаються із сфери дії законодавства про захист даних: 

“The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable”. 

Також поняття анонімізованих даних зустрічається не тільки в GDPR, а й у e-Privacy Directive (Directive 2002/58/EC, Directive on privacy and electronic communications), зокрема у Статті 6(1) 

“Traffic data relating to subscribers and users processed and stored by the provider of a public communications network or publicly available electronic communications service must be erased or made anonymous when it is no longer needed for the purpose of the transmission of a communication […]”, 

та у Статті 9(1): 

“Where location data other than traffic data, relating to users or subscribers of public communications networks or publicly available electronic communications services, can be processed, such data may only be processed when they are made anonymous, or with the consent of the users or subscribers to the extent and for the duration necessary for the provision of a value added service […]”.

Інакше кажучи, якщо контролер даних бажає зберегти такі персональні дані після досягнення цілей початкової або подальшого опрацювання, ці персональні дані мають залишатися анонімними «за замовчуванням» (з урахуванням різних правових вимог, таких як ті, що згадані в e-Privacy Directive). 

Тобто ключовими моментами є те, що:

• Опрацювання персональних даних з метою анонімізації даних все ще залишається опрацюванням, тому потрібно мати правову основу згідно зі Статтею 6 GDPR;
• Анонімізація даних є результатом опрацювання персональних даних з метою неможливості наступної ідентифікації суб’єкта даних (безповоротний процес);
• У GDPR не закріплено належних способів анонімізації даних;
• Потрібно звернути увагу на “всі” засоби, які “ймовірно” i “розумно” можуть використовуватися контролером і третіми сторонами для ідентифікації особи.
• У будь-якому випадку буде залишатися фактор ризику і його потрібно належно оцінити для обґрунтування способу анонімізації, який буде використано.

Існують різні практики та способи анонімізації з різним ступенем надійності: рандомізація, узагальнення, перестановка (перемішування) тощо. Working Party 29 (WP 29) надає детальні характеристики практик використання в Opinion 05/2014 on Anonymisation Techniques (із зазначенням поширених помилок використання кожного зі способів).

Щодо псевдонімізації (дані із використанням псевдонімів), цей процес характеризується зміною характеристик, за допомогою яких можна ідентифікувати суб’єкта даних, на псевдонім (іншими словами, значенням, яке не дозволяє безпосередньо ідентифікувати суб’єкта даних). 

У Преамбулі 26 Загального регламенту вказано щодо даних, із використанням псевдонімів вказано: 

“Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person”. 

Тобто такий вид даних, на відміну від анонімізованих даних, все ще кваліфікується як персональні дані відповідно до положень GDPR.

Найбільш розповсюдженими методами псевдонімізації є шифрування, хеш-функція, токенізація тощо. Очевидно, що псевдонімізація забезпечує лише обмежений захист даних у багатьох випадках, оскільки все ще дозволяє ідентифікацію особи за допомогою непрямих засобів (наприклад, можна ідентифікувати суб’єкта даних шляхом аналізу основних та пов’язаних даних).  

Значення справи T-557/20

Наприкінці квітня 2023 року Суд загальної юрисдикції ЄС (далі – Суд) ухвалив рішення у справі T-557/20 щодо випадку, коли дані із використанням псевдонімів можуть не вважатись персональними даними.

Сторони: Single Resolution Board (SRB) – центральний орган з у рамках Банківського союзу та European Data Protection Supervisor (EDPS, Європейський інспектор із захисту даних).

Передісторія: 7 червня 2017 року SRB на своїй виконавчій сесії ухвалив Рішення щодо схеми врегулювання для Banco Popular Español, SA. Суть рішення – переведення Banco Popular Español, SA під санацію (того ж дня Європейська Комісія прийняла Рішення (ЄС) 2017/1246 про схвалення схеми врегулювання).

6 серпня 2018 року SRB опублікував на своєму вебсайті Повідомлення щодо свого попереднього рішення про те, чи потрібно надати компенсацію акціонерам і кредиторам, щодо яких було здійснено санаційні дії щодо Banco Popular. У попередньому рішенні SRB запропонував акціонерам і кредиторам висловити свою зацікавленість у здійсненні свого права бути почутими відповідно до статті 41(2)(a) Хартії основоположних прав Європейського Союзу (з метою вирішення чи мають акціонери та кредитори отримати компенсацію). Зацікавлені акціонери та кредитори спочатку повинні були заповнити форму онлайн-реєстрації, а далі – зацікавлені акціонери та кредитори, чий статус був перевірений SRB, мали змогу подати свої коментарі щодо попереднього рішення. SRB автоматично відфільтрував коментарі, кожному з яких було присвоєно унікальний буквено-цифровий код. Працівники SRB, відповідальні за аналіз коментарів, не мали доступу ані до даних, зібраних на етапі реєстрації, ані до ключа даних або інформації, за допомогою якої Ідентичність учасників можна було відстежити за допомогою унікального буквено-цифрового коду.

Після завершення реєстрації та отримання коментарів SRB звернувся до Deloitte (як незалежного оцінювача), з проханням оцінити відповідні коментарі. Відібрані коментарі були передані за допомогою захищеного віртуального сервера даних. SRB завантажив файли на віртуальний сервер і надав доступ до цих файлів обмеженій кількості співробітників Deloitte, які брали безпосередню участь у проєкті. Всі коментарі мали буквено-цифровий код і тільки SRB міг пов’язати коментарі з даними, отриманими на етапі реєстрації.

Вже у 2019 році акціонери та кредитори, які заповнили форму, подали п’ять скарг до EDPS про захист фізичних осіб щодо обробки персональних даних. Заявники вказували, що SRB не повідомив їх про те, що дані, зібрані за допомогою відповідей у формах, будуть передані третім сторонам чим порушив Статтю 15(1)(d) GDPR у якій зазначено, що “суб’єкт даних повинен мати право на отримання від контролера підтвердження факту опрацювання її або його персональних даних і, якщо це так, – доступ до персональних даних та інформації про період, протягом якого передбачається, що персональні дані будуть зберігати, або, якщо це неможливо, – критерії визначення такого періоду”. 

Після отримання пояснень від SRB, EDPS встановив, що SRB порушив Статтю 15 GDPR, оскільки SRB не повідомив заявників, що їхні персональні дані можуть бути розкриті Deloitte. Проте SRB стверджував, що інформація, передана Deloitte, не є персональними даними у значенні статті 3(1) GDPR. Далі EDPS переглянув своє попереднє рішення і вказав, що дані, надані Deloitte, були даними під псевдонімом, тому що коментарі на [фазі консультацій] були особистими даними, а також тому, що SRB надав буквено-цифровий код, який дозволяє пов’язати відповіді, надані на [фазі реєстрації], з дані, надані на [фазі консультацій] – попри той факт, що дані, надані учасниками для ідентифікації на [фазі реєстрації], не були розголошені Deloitte.

Також EDPS вважав, Deloitte був одержувачем персональних даних заявників згідно зі Статтею 3(13) GDPR. Той факт, що компанія Deloitte не була згадана SRB’s privacy statement як потенційний одержувач персональних даних, зібраних і оброблених SRB як контролером є порушенням зобов’язань, визначених у Статті 15(1)(d) GDPR.

У цій справі не заперечувалося, що буквено-цифровий код, який міститься в інформації, переданій Deloitte, сам по собі не дозволяє ідентифікувати авторів коментарів. Також не заперечувалося, що компанія Deloitte не мала доступу до ідентифікаційних даних на етапі реєстрації, які дозволили б пов’язати учасників із їхніми коментарями за допомогою буквено-цифрового коду. Оскаржувалося тільки те, чи є дані, включаючи коментарі та буквено-цифровий код, передані Deloitte, персональними даними.

Що вирішив Суд: Суд вказав, що дані під псевдонімом, передані одержувачу даних, не вважаються персональними даними, якщо одержувач даних не має засобів для повторної ідентифікації суб’єктів даних. Але Суд вказує на необхідність оцінки кожного окремого випадку. Суд також пояснив, що думки особи не можна вважати персональними даними за припущенням, а рішення щодо визначення думки особи як персональних даних має ґрунтуватися на дослідженні того, чи пов’язана така думка за своїм змістом, метою чи наслідком з конкретною особою: 

“Admittedly, it cannot be ruled out that personal views or opinions may constitute personal data […] such a conclusion cannot be based on a presumption […], but must be based on the examination of whether, by its content, purpose or effect, a view is linked to a particular person”.

Зважаючи на це, Суд загальної юрисдикції ухвалив рішення на користь SRB. Проте це рішення ще може бути оскаржене до Суду ЄС.

Висновок

Можна підсумувати, що рішення у справі T-557/20 є важливим і ось чому:

1. Те, що контролер даних (особа, яка передає дані) має засоби для повторної ідентифікації суб’єктів даних, не означає автоматично, що передані дані також будуть визначатися персональними даними для одержувача.
2. Щоб визначити, чи дані із використанням псевдонімів є персональними даними, необхідно враховувати точку зору одержувача даних. Якщо одержувач даних не має жодної додаткової інформації, яка дозволила б йому повторно ідентифікувати суб’єктів даних, і не має доступних законних засобів для доступу до такої інформації, передані дані можуть вважатися анонімними для одержувача. Отже, у такому випадку вони  не є персональними даними. 
3. Чи пов’язана думка за змістом, метою чи ефектом з конкретною особою, чи буде така думка вважатись персональними даними потрібно з’ясовувати у кожному випадку окремо.