Anonymisering och GDPR; en översikt

Anonymization and GDPR
Anonymization and GDPR

Anonymisering av personuppgifter är processen att kryptera eller ta bort personligt identifierbara uppgifter från datamängder så att personen inte längre kan identifieras direkt eller indirekt. När en person inte kan identifieras på nytt anses uppgifterna inte längre vara personuppgifter och GDPR gäller inte för vidare användning.

Lästid: 3 minuter.

Vad är anonymisering?

Anonymisering av personuppgifter är behandling av uppgifterna i syfte att oåterkalleligt förhindra identifieringen av individen. Med andra ord, uppgifterna ska vara omöjliga att koppla till en individ för att anses uppfylla kraven för anonymisering. Det finns inte någon standardteknik för en anonymisering enligt GPDR. Det som kan sägas är att en godtagbar anonymisering ska innebära att:

  1. Ändringen är oåterkallelig,
  1. det är nästintill omöjligt att identifiera individen.

Anonymisering definition

Anonymisering är definierat i ISO standard (ISO 29100:2011) som:

ANONYMISERING ÄR EN PROCESS MED VILKEN PERSONLIG IDENTIFIERBAR INFORMATION (PII)

GÖRS OTILLGÄNGLIG PÅ SÅ SÄTT ATT EN PRINCIPAL INTE LÄNGRE KAN IDENTIFIERAS DIREKT ELLER INDIREKT,

ANTINGEN AV DEN PERSONUPPGIFTSANSVARIGE ELLER I SAMARBETE MED NÅGON ANNAN

[inofficiel översättning]

De viktigaste kriterierna som kan väljas ut från denna definition är identifierbar information ska ändras på ett sådant sätt att den blir oåterkalleligt oidentifierbar. Med detta menas att personen inte längre kan identifieras varken direkt eller indirekt.

Advertisement

Affärs-, tech- och internetjuridik

Sharp Cookie Advisors


Det finns ingen faktiskt definition av anonymisering i GDPR men kraven i skäl 26 GDPR måste uppfyllas för att uppgifterna ska betraktas som anonymiserade:

Principerna för dataskyddet bör därför inte gälla för anonym information, nämligen

information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som

anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar.

[inofficiell översättning]

För att avgöra om en fysisk person är identifierbar eller inte ska du överväga alla medel som rimligen kan användas, såsom kostnader, tid som krävs och tillgänglig teknik vid tidpunkten för bearbetningen samt den tekniska utvecklingen framåt.

Anonymiseringstekniker och utmaningar

Vilken typ av tekniker som fungerar bäst beror på situationen. EU:s expertrådsgrupp Artikel29-gruppen har gett vägledning om anonymiseringstekniker i yttrande WP216 (2014).

Nedan följer en introduktion till anonymisering och GDPR-kompatibla tekniker som kan användas:

Den första typen av teknik är Randomisering och denna teknik bygger på förändring av uppgifter. Syftet är att avlägsna kopplingen mellan individen och uppgifterna utan att den personuppgiftsansvarige förlorar värdet av uppgifterna. Därför kan denna typ av teknik vara bra att använda när du inte behöver exakt information för att få nytta av behandlingen. Brustillägg, premutation och differentiell integritet är tekniker som faller inom kategorin randomisering.

Den andra typen är Generalisering och syftet med den här tekniken är att att minska uppgifternas granularitet – eller, detaljnivå. Detta kommer att leda till att du avslöjar mindre information om den registrerade. Genom att använda denna typ av teknik är det mindre troligt att en individ kommer kunna utpekas. Denna teknik kommer bara fungera om du lagrar flera individers uppgifter tillsammans. Till exempel kan en databas som lagrar åldrarna hos de registrerade ändras så att endast det åldersintervall som de registrerade faller under registreras (t.ex. 18-25; 25-35; 35-45; etc.). Detta hindrar att du skulle kunna identifiera någon av de specifika registrerade. Denna teknik fungerar bara om du lagrar så många olika personer i databasen att det är omöjligt att utesluta personer under varje kategori. Kategorin generalisering som metod inkluderar teknikerna aggregering och k-anonymitet och L-diversitet/T-närhet.

Den sista tekniken är Masking och detta fungerar ofta som ett komplement till olika anonymiseringstekniker. Denna teknik bygger på att ta bort alla uppenbart personliga identifierare från uppgifterna/datan. Detta kan till exempel vara ett namn, bilder och adresser. Denna teknik räcker ofta inte för att uppgifterna ska vara anonyma. Därför behöver du ofta använda denna teknik tillsammans med någon av de andra teknikerna.

Rättslig grund för anonymisering

Bearbetning av uppgifter i syfte att anonymisera dem räknas fortfarande som bearbetning enligt GDPR och hanteringen kräver således en rättslig grund enligt artikel 6. Anonymiseringsprocessen är det som kallas “vidare behandling”. Som sådan måste den nya behandlingen uppfylla principen om ändamålsbegränsning.

Oftast föreligger den rättsliga grunden legitimt intresse för den personuppgiftsansvarige / databehandlarens fullgörande av avtal. Viktigt att tänka på är att även principerna för insamling, syfte och lagring måste följas.

Anonymisering underlättar efterlevnaden av GDPR

Om anonymiseringen görs korrekt kommer uppgifterna inte längre kopplas till en identifierad eller identifierbar fysisk person och därför inte betraktas som personuppgifter. GDPR gäller inte för anonyma uppgifter, vilket innebär att du kan använda sådana uppgifter mer fritt.

Du kan använda anonymisering för att förbättra verksamhetens efterlevnad av GDPR på två huvudsakliga sätt:

  • Som en del av det strategiska arbete “privacy by design” – med målet att förbättra skyddet för de bearbetade uppgifterna;
  • eller som en del av strategin för “uppgiftsminimering” – där uppgifter kan anonymiseras och användas utan risk för att de registrerade skadas.

Brister i anonymisering riskerar GDPR sanktion

I mars 2019 sanktionerade den danska datainspektionen (danska DPA) taxiföretaget Taxa 4×35 med en GDPR sanktion på 1,2 miljoner DKK för att inte radera eller anonymisera användardata. Den danska DPA fann att Taxa 4×35 hade hållit personuppgifter om nästan 9 miljoner taxiturer de senaste fem åren. Företaget hade misslyckats med att hålla den använda informationen begränsad till vad som var nödvändigt för de ändamål för vilka de bearbetades (s.k. uppgiftsminimeringsprincipen och lagringsbestämmelsen i artikel 5 i GDPR).

Taxa 4×35 hävdade att de anonymiserade data från sina kunder efter två år. De raderade kundens namn från sitt system efter två år och hävdade att uppgifterna sedan var anonymiserade. Resterande data raderades efter fem år. Eftersom kundernas nummer och andra uppgifter fortfarande fanns tillgängliga i systemet räckte inte namnet efter två år för att den registrerade skulle vara anonym. Det fanns fortfarande möjlighet till länkbarhet, det vill säga möjligheten att länka poster som gäller samma person. Den danska datainspektionen uppgav att uppgifterna inte anonymiserats eftersom företaget kunde använda de återstående uppgifterna i systemet för att indirekt identifiera kunden. Därför ändrades inte personuppgifterna oåterkalleligt.

Full text av den Danska DPA’s avgörande i Taxa4x35 (på Danska)

Sammanfattning

Att bearbeta personuppgifter för att göra uppgifterna anonyma är inte en engångsuppgift. Du måste se över de tekniker som du valt för att hålla jämna steg med de tekniska framstegen samt förändringar i din egen verksamhetspraxis.

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here