EDPB: Smernice o psevdonimizaciji
EDPB je na plenarnem zasedanju januarja 2025 sprejel smernice o psevdonimizaciji in jih objavil.
Novica je bila objavljena 17.1.2025
GDPR je uvedel izraz "psevdonimizacija"* in ga definiral kot zaščitni ukrep, ki je lahko primeren in učinkovit za izpolnjevanje obveznosti varstva podatkov. EDPB v novih smernicah pojasnjuje opredelitev in uporabnost psevdonimizacije in psevdonimiziranih podatkov ter prednosti psevdonimizacije.
Smernice so bile težko pričakovane z vidika same definicije psevdonimiziranega podatka in so ugasnile upanje, da bo ta definicija manj stroga od obstoječe pravne prakse. Namreč še bolj jasno opredeli, da gre za psevdonimizirane podatke v tistih primerih, ko bi podatke bilo mogoče pripisati posamezniku z uporabo dodatnih informacij, torej ostajajo podatki, ki se nanašajo na določljivo fizično osebo in so tako še vedno osebni podatki. Če torej upravljavec podatkov ali tretja oseba lahko te podatke poveže nazaj s posameznikom, gre za osebne podatke.
Pomemben poudarek v smernicah je tudi dejstvo, da psevdonimizacija lahko zmanjša tveganja in olajša uporabo zakonitega interesa kot pravne podlage (člen 6(1)(f) GDPR), če so izpolnjene vse druge zahteve GDPR. Podobno lahko psevdonimizacija pomaga pri zagotavljanju združljivosti s prvotnim namenom (člen 6(4) GDPR).
V smernicah je tudi pojasnjeno, kako lahko psevdonimizacija pomaga organizacijam pri izpolnjevanju njihovih obveznosti v zvezi z izvajanjem načel varstva podatkov (5. člen GDPR), vgrajenega in privzetega varstva podatkov (25. člen GDPR) in varnosti (32. člen GDPR).
Nazadnje so v smernicah analizirani tehnični in zaščitni ukrepi pri uporabi psevdonimizacije za zagotavljanje zaupnosti in preprečevanje nepooblaščene identifikacije posameznikov.
Smernice bodo v javnem posvetovanju do 28. februarja 2025.
Smernice so dostopne tukaj. Na istem mestu je mogoče tudi oddati pripombe oziroma predloge.
Vir: EDPB
Naslovna slika: RawPixel
