Datu valsts inspekcija konstatējusi, ka nereti jēdziens pseidonimizācija, tiek jaukts ar citu personas datu aizsardzībā izmantotu terminu – anonimizācija. Tāpat konsultāciju laikā secināts, ka uzņēmējiem un citām personām, kas interesējas par personas datu aizsardzību nav pilnīga priekšstata par to, kādos gadījumos pseidonimizācija izmantojama.
Šajā skaidrojumā tiks īsumā aprakstīts jēdziens pseidonimizācija, kā arī šī jēdziena atšķirības no cita datu aizsardzībā izmantota termina – anonimizācija un šo abu metožu izplatītākie izmantošanas veidi.
Datu “pseidonimizācija” atbilstoši Datu regulai [1] nozīmē jebkuras informācijas, ko varētu izmantot personas identificēšanai, aizstāšanu ar pseidonīmu vai, citiem vārdiem sakot, vērtību, kas neļauj personu tieši identificēt.[2]
Pseidonimizācija pēc būtības ir viens no personas datu aizsardzības tehniskās aizsardzības rīkiem, jo piemēram gadījumā, ja pseidonimizēta informācija nonāk trešo personu rīcībā tās nepieliekot papildu pūles nespēj šīs ziņas attiecināt uz konkrētu fizisku personu. Līdz ar to apstrādātā informācija vismaz sākotnēji ir pasargāta.
Šī iemesla dēļ pseidonimizāciju var izmantot kā papildu drošības garantu, piemēram, aizsargājot datus, kas tiek nodoti uz trešo valsti, vai jebkurā citā situācijā kur apstrādē esošajiem datiem nepieciešama papildu aizsardzība.
Piemēram, informācijas pseidonimizācija ir:
|
Vārds un Uzvārds |
Personas kods |
Darba vieta |
Sākotnējie dati |
Vinnijs Pūks |
141026-00001 |
Literārs tēls |
Pseidonimizēti dati |
Dzīvnieks 1 |
XXXXXX-XXXX |
Literārs tēls |
Pseidonimizētu informāciju būs iespējams atkal padarīt par personas datiem, izmantojot papildu informāciju. Šāda papildu informācija, ar kuras palīdzību pseidonimizētā datu kopā iespējams identificēt kādu konkrētu fizisku personu, ir glabājama nošķirti no pseidonimizētajiem datiem un ir rūpīgi aizsargājama.
Lai noteiktu, vai fiziska persona ir identificējama, būtu jāņem vērā visi līdzekļi, ko pārzinis vai kāda cita persona pamatoti varētu izmantot identifikācijā. Vērā jāņem visi objektīvie faktori, piemēram, identificēšanai nepieciešamās izmaksas un laiks, ņemot vērā apstrādes laikā pieejamās tehnoloģijas un tehnoloģiju attīstību.
Ja tiek secināts, ka ne pārziņa ne citu personu rīcībā nav papildu informācijas ar kuras palīdzību datu kopa saistāma ar konkrētu fizisku personu un izmantojot pamatotus līdzekļus šāda papildu informācija nav iegūstama, tad šādu datu kopu var uzskatīt par anonimizētiem datiem.
Anonimizēti dati nav uzskatāmi par personas datiem, tāpēc uz tiem neattiecas Datu regula.
Datus var uzskatīt par anonimizētiem, ja personas vairs nav identificējamas. Ir svarīgi atzīmēt, ka lai persona būtu identificējama tā nav obligāti jānosauc vārdā. Ja ir cita informācija, kas ļauj izdalīt personu no līdzīgu personu grupas tad šo personu joprojām var uzskatīt par identificētu.
Lai datus uzskatītu par anonimizētiem ir jādzēš sākotnējās informācijas kopas, lai novērstu iespēju, ka anonimizācija varētu tikt padarīta atgriezeniska. Ja tas netiek paveikts, informācija būs uzskatāma par pseidonimizētu nevis anonimizētu.
INFORMATĪVAS ATSAUCES:
[1] Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)
[2] Datu regulas 4.panta 5 punkts