B
adanie przykładu rzuca światło na sposób, w jaki agencje ochrony danych egzekwują wymogi RODO dotyczące anonimizacji danych. Taksony 4 × 35 to duńska usługa, która pozwala użytkownikom wzywać taksówki w Kopenhadze za pomocą aplikacji podobnej do Ubera. Gdy użytkownik zamawia taksówkę, system pozyskuje pewien zestaw danych, w tym: nazwę klienta, numer telefonu, datę podróży, czas rozpoczęcia i zakończenia podróży, liczbę przejechanych kilometrów, płatność, współrzędne GPS początku i końca podróży, a także adres pisemny i inne współrzędne. Taksony 4 × 35 następnie łączą te dane z informacjami podatkowymi użytkownika, aby zapewnić pobranie odpowiedniej kwoty podatków.
W październiku 2018 r. Duńska agencja ochrony danych, Datatilsynet , stwierdziła, że taksówki przechowywały dane z prawie 9 milionów przejazdów taksówek przez pięć lat, znacznie dłużej niż były potrzebne. Takie gromadzenie danych jest sprzeczne z art. 5 ogólnego rozporządzenia o ochronie danych UE, który stanowi, że dane osobowe muszą być „odpowiednie i ograniczone do tego, co jest konieczne w związku z celami, dla których są przetwarzane” i dalej: „przechowywane w formularzach, który pozwala na identyfikację osób, których dane dotyczą, na czas nie dłuższy niż jest to konieczne do celów, dla których dane osobowe są przetwarzane. ”
Kierownictwo taksonów 4 × 35 uważało, że są zwolnione z tych dwóch sekcji art. 5, które reprezentują zasady minimalizacji danych i ograniczenia przechowywania, ponieważ anonimizują dane, usuwając nazwy związane z rekordami podróży z ich bazy danych po dwóch latach. (Pozostałe dane zostały następnie usunięte po pięciu latach). Datatilsynet uznał tę próbę anonimizacji danych za niewystarczającą, wskazując, że nawet bez nazwy użytkownika, taksony 4 × 35 wciąż miały wystarczającą ilość danych osobowych, aby zidentyfikować osobę fizyczną. Agencja stwierdziła, że „Informacje na temat opodatkowania klienta (w tym adresy odbioru i dostawy) można zatem nadal przypisać osobie fizycznej za pomocą numeru telefonu, który jest usuwany dopiero po pięciu latach.”
Anonimizacja danych: Wymagania RODO
RODO wprowadza krytyczne różnice między danymi osobowymi, danymi pseudonimizowanymi i danymi anonimowymi. Twierdzenie Taksonów 4 × 35, że anonimowe dane mogą być wykorzystywane znacznie dłużej niż dane osobowe, było prawidłowe. Zgodnie z art. 26 „Zasady ochrony danych nie powinny zatem mieć zastosowania do anonimowych informacji, a mianowicie informacji, które nie dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej lub danych osobowych uczynionych anonimowymi w taki sposób, że osoba, której dane dotyczą, nie jest lub nie będzie identyfikowalna. ” Całą anonimizację danych można odnotować i kontrolować czas retencji w programie do RODO.
Taksony 4 × 35 nie spełniły jednak wysokiego standardu ustalonego przez RODO w zakresie anonimizacji danych. Wcześniej rt. 26 stwierdza, że organizacja musi nie tylko rozważyć, czy może zidentyfikować osobę fizyczną na podstawie danych, które posiada w swojej bazie danych, ale musi także wziąć pod uwagę:
Wszystkie środki, które prawdopodobnie zostaną wykorzystane, takie jak wyodrębnienie przez administratora lub inną osobę w celu bezpośredniej lub pośredniej identyfikacji osoby fizycznej. Aby ustalić, czy istnieje uzasadnione prawdopodobieństwo, że środki zostaną wykorzystane do identyfikacji osoby fizycznej, należy wziąć pod uwagę wszystkie obiektywne czynniki, takie jak koszty i ilość czasu potrzebnego na identyfikację, biorąc pod uwagę dostępną technologię w momencie przetwarzanie i rozwój technologiczny.
Prawdziwa anonimizacja danych
Ponieważ stosunkowo łatwo jest wyszukać numer telefonu i dopasować go do konkretnej osoby, zestaw danych Taksony nie jest anonimowy. rekordy nie są anonimowe, więc nadal podlegają pełnej ochronie wymienionej w RODO, co oznacza, że taksony 4 × 35 powinny były usunąć dane po dwóch latach i mieć dokumentację na ich potwierdzenie.
Skuteczna anonimizacja danych składa się z dwóch części:
To jest nieodwracalne.
Odbywa się to w taki sposób, że niemożliwe jest (lub bardzo niepraktyczne) zidentyfikowanie osoby, której dane dotyczą.
Grupa robocza art. 29 zbadała kilka różnych metod anonimizacji danych i wyjaśniła, jakie środki muszą podjąć podmioty przetwarzające dane i administratorzy danych. Mówią w szczególności, że „samo usunięcie elementów bezpośrednio identyfikujących nie wystarczy, aby zapewnić, że identyfikacja osoby, której dane dotyczą, nie jest już możliwa. Często konieczne będzie podjęcie dodatkowych środków w celu uniemożliwienia identyfikacji, ponownie w zależności od kontekstu i celów przetwarzania, do którego przeznaczone są anonimowe dane. ”
W przykładzie Taksony 4 × 35 uzasadnieniem dla utrzymania bazy danych przez pięć lat był rozwój biznesu. W takim przypadku mogliby wykonać dokładne modele tego, kiedy i gdzie potrzebowali kierowców i zanonimizować swoje dane, usuwając wszystkie inne dane oprócz daty podróży, godziny rozpoczęcia i zakończenia podróży, liczby przejechanych kilometrów oraz współrzędne GPS początku i końca podróży. Następnie mogliby pogrupować te dane według dnia lub lokalizacji, a nie według konta. Pozwoliłoby to taksonomom zidentyfikować geograficzne gorące miejsca i godziny szczytu dla kierowców, ale nie pozwoliłoby na identyfikację osób, których dane dotyczą.
Wniosek
RODO ma na celu zapewnienie osobom fizycznym kontroli nad ich danymi osobowymi, a nie zapobieganie czerpaniu przez firmy i organizacje korzyści z analizy dużych zbiorów danych. Dzięki pełnemu zrozumieniu wymagań RODO dotyczących anonimizacji danych organizacje mogą nadal przetwarzać dane nie ryzykując ewentualnych kar pieniężnych z RODO. Taksony 4 × 35 podjęły bezmyślną próbę anonimizacji swoich danych i zostali złapani. W polskich realiach od razu przychodzą mi na myśl spółdzielnie, w których zbiorach znajdziemy jeszcze opinie sekretarza partii, odnośnie przydziału mieszkania. Bóg raczy wiedzieć po co im te dane są nadal… Ponoć podstawa przetwarzani to cel archiwalny i statystyczny 🙂
Anonimizacja danych. RODO ma wiele wymagań dotyczących sposobu przetwarzania danych osobowych. Może to być zniechęcające, ale stworzyliśmy tę stronę, aby pomóc firmom w przestrzeganiu podstawowych zasad RODO. Zobacz naszą listę kontrolną RODO i przegląd podstaw prawa, aby rozpocząć. Z ciekawości, możesz dowiedzieć się również, czy RODO ma zastosowanie do firm spoza UE.