Kitas duomenų tvarkymo lygis: asmens duomenų nuasmeninimas ir pseudonimizavimas

Įsisukę į duomenų apsaugos reikalavimų sūkurį ir periodiškai audituojantys savo procesus, duomenų valdytojai identifikuoja vis didesnius srautus tvarkomų asmens duomenų – ir toks duomenų kiekio augimas skatina dar atidžiau stebėti, ar jų saugojimas atitinka duomenų apsaugos reikalavimus. Diana Laura Ločinska, SQUALIO Lietuva BDAR specialistė, CIPP/E, dalijasi įžvalgomis apie kitą duomenų tvarkymo lygį – asmens duomenų nuasmeninimą ir pseudonomizavimą.

Kad ir kaip stengiamasi rasti sprendimus kaip mažinti tvarkomų asmens duomenų srautus tuo pačiu užtikrinant pagrindinius asmens duomenų tvarkymo principus, pagrindinės pagalbos priemonės vis dar nėra tinkamai įvertinamos: siekiant kuo detalesnės atitikties asmens duomenų apsaugos standartams, pamirštame pagrindinę taisyklę – asmens duomenų apsaugos reguliavimas taikomas tuomet, kai turime kelis pagrindinius elementus – asmens duomenis bei galimybę tiesiogiai ar netiesiogiai identifikuoti fizinį asmenį.

Europos Sąjungos teisės aktai mums pateikia kelis variantus, kaip galime valdyti asmens duomenis pasiekę nustatytus duomenų tvarkymo tikslus priklausomai nuo to, kokie yra mūsų poreikiai dėl tolesnio šių duomenų tvarkymo – ir šios galimybės jau nėra naujovė.

Pirmasis variantas – nuasmeninimas, kitaip dar žinomas kaip anonimizavimas. Dar Direktyvos 95/46/EB konstatuojamoje 26 dalyje buvo nurodyta, kad anoniminiais tapusiems duomenims netaikomi  asmens duomenų apsaugos teisės aktai. Asmens duomenų tvarkymas juos nuasmeninant gali keliais kartais sumažinti rizikas bei padėti išsaugoti naudą ir vertę informacijos, kuri lieka pritaikius šį asmens duomenų apdorojimo būdą.

Antrasis variantas – pseudonimizavimas. Ši sąvoka pateikiama Europos Sąjungos Bendrojo duomenų apsaugos reglamento (toliau – Reglamentas) 4 straipsnio 1 dalies 5 punkte. Jame nurodoma, kad pseudonimų suteikimas - tai toks duomenų tvarkymo būdas, kurį taikant asmens duomenys negali būti priskirti konkrečiam duomenų subjektui, nenaudojant papildomos informacijos.

Vis dėlto, neretai kyla klausimas - kaip nuspręsti, kurį asmens duomenų apdorojimo būdą pasirinkti,  siekiant nesukelti žalos bei tinkamai suvaldyti visas operacijas?

Asmens duomenų nuasmeninimas

Pirmiausiai, siekiant atskirti abu galimus duomenų apdorojimo būdus reikėtų suprasti jų skirtumus ir situacijas, kada jie gali būti naudojami.

Asmens duomenų nuasmeninimas yra priemonė, leidžianti gerokai palengvinti procesus ir administracinę naštą. Pasitelkiant šį duomenų apdorojimo būdą, negrįžtamai panaikinama galimybė nustatyti duomenų subjekto tapatybę; tai yra svarbiausias elementas – duomenys modifikuojami be jokios galimybės identifikuoti asmens ateityje. Ši sąlyga taikytina ne tik trečiųjų asmenų atžvilgiu, tačiau ne mažiau reikšminga ir pačiam duomenų valdytojui.

Kuo šis metodas gali būti naudingas? Jis gali padėti išspręsti situacijas kai reikalinga įgyvendinti saugojimo termino apribojimo principą ir pasiekus nustatytus tikslus, kuriais asmens duomenys buvo surinkti, sunaikinti juos. Nuasmeninus duomenis, mes toliau galėsime kaupti, analizuoti informaciją, kuriai nebetaikomi asmens duomenų apsaugos reikalavimai -tai reiškia, kad informacija, kuri gali būti aktuali tolesnei verslo plėtrai, gali būti naudojama neribotą terminą.

Kalbant apie praktinį nuasmeninimo įgyvendinimo aspektą, išskiriamos dvi galimos įgyvendinimo priemonės - randomizavimas ir apibendrinimas.

Randomizavimas - metodai, kurie orientuoti į sąsajos tarp asmens ir jo duomenų panaikinimą. Taikant šią grupę gali būti įterpiami duomenys, kurie iškraipo arba sumažina tikslumą arba duomenys gali būti sukeičiami vietomis, sukuriant dirbtines sąsajas. Kita metodų grupė – apibendrinimas. Ji orientuota į visų duomenų subjektų požymių apibendrinimą, siekiant sumažinti konkretaus asmens išskyrimo galimybę.

Kad ir kurį metodą pasirinksite, jei tikslas yra panaikinti kokią galimybę atkurti ir nustatyti asmens tapatybę, abu modeliai tinkami jo įgyvendinimui.

Pseudonimų suteikimas

Kalbant apie duomenų nuasmeninimą, neišvengiamai turime kalbėti ir apie pseudonimų suteikimą - pseudonimizavimą. Šis metodas iš esmės skiriasi nuo randomizavimo – taikant šį duomenų tvarkymo būdq, asmens duomenys negali būti priskirti konkrečiam duomenų subjektui, nenaudojant papildomos informacijos. Tačiau pažymėtina, kad jau pati sąvoka suponuoja apie galimybę nustatyti asmens tapatybę, tenkinant papildomos informacijos sąlygą.

L. Tosoni Reglamento komentare pažymi, kad tam, kad duomenys atitiktų Reglamento pateiktą apibrėžtį ir būtų laikomi pseudoniminiais, asmens duomenys turi atitikti dvi kumuliatyvias sąlygas: pirmiausia, duomenys apdorojami tokiu būdu, kuris neleistų jų susieti su konkrečiu duomenų subjektu, netaikant papildomos informacijos. Praktikoje įprastai tai įgyvendinama vieno iš duomenų rinkinio atributo pakeitimu kitu (pvz., vardas – atsitiktinai priskirtas kodas). Antroji sąlyga – bet kokia papildoma informacija, kuri gali eigoje padėti identifikuoti duomenų subjektą, privalo būti laikoma atskirai nuo duomenų, su kuriais yra susijusi. Tam turi būti pasitelkiamos tinkamos techninio ir organizacinio saugumo priemonės, kurios užkirstų kelią bet kokiam atsitiktiniam ar neteisėtam asmens identifikavimui.

Kuo naudingas pseudonimų suteikimas? Pseudonimizavimo nauda geriausiai atsiskleidžia įgyvendinant duomenų kiekio mažinimo principą: jeigu verslui reikalinga stebėti statistiką, daryti analizę, dalintis informacija su trečiosiomis šalimis ar atlikti kitas veiklas, kurioms laikinai nėra būtina identifikuoti asmenį, pasirinkdami pseudonimus priimsite geriausią sprendimą, nes jų suteikimas išsaugos galimybę nustatyti asmens tapatybę, jei to prireiks ateitytyje.

Nuasmeninimas = pseudonimizavimas?

Galimybė gavus siekiamus rezultatus nustatyti asmens tapatybę yra pagrindinis skirtumas tarp dviejų pateikėtų metodikų: pavyzdžiui, suteikiant pseudonimus duomenų subjektas vis tiek gali būti netiesiogiai identifikuojamas - taigi, pseudonimizavimas negali būti laikomas anonimizavimo metodu, kadangi yra nukreiptas tik į laikiną ir dalinę galimybę apriboti duomenų subjekto identifikavimą. Tuo tarpu nuasmeninimas yra galutinis ir negrįžtamas galimybės identifikuoti asmenį panaikinimas - duomenys gali būti laikomi anoniminiais tik tuomet, kai negalime identifikuoti asmens.

Kurį metodą pasirinkti?

Vertinant aukščiau aptartus duomenų tvarkymo metodus reikėtų atsižvelgti į vis tobulėjančias technines galimybes ir naujoves, kuriomis galime naudotis - technologinė raida sudaro terpę plėsti metodikas, priemones ir galimybes, kaip galime tvarkyti klientų, darbuotojų ar kitų duomenų subjektų asmens duomenis. Kiekvienas metodas turi savo privalumų ir trūkumų, tačiau abu yra orientuoti į asmens duomenų saugumo užtikrinimą, principų įgyvendinimą ir atitikties užtikrinimą. Ne mažiau svarbu ir tai, kad abu metodai suteikia galimybę palengvinti administracinę naštą, supaprastinti marketingo, komercijos ar kitų skyrių organizacijoje darbą, o taip pat užtikrinti asmens duomenų nutekinimo, neteisėtos prieigos suteikimo ar kitų saugumo pavojų prevenciją.

Žinoma, kiekviena situacija yra individuali ir egzistuoja galimybė susidurti su apribojimais ar reikalavimais, kurie neleis panaudoti nei vieno iš aptartų metodų – vis dėlto, itin svarbu tinkamai įsivertinti asmens duomenų tvarkymo tikslus, juos pagrindžiančius teisinius pagrindus bei tvarkomų duomenų apimtis, saugojimo reikalavimus. Priimant sprendimą, kurį metodą rinktis,  rekomenduotina įtraukti Duomenų apsaugos pareigūną, kuris pateiks savo vertinimą, situacijos analizę bei padės pasirinkti, dokumentuoti atvejus, kuomet gali būti siekiama nuasmeninti arba pseudonimizuoti duomenis, bei suteiks organizacijai tinkamus metodus, kaip įgyvendinti šiuos procesus.