Álnevesítés és anonimizálás
A természetes személy azonosíthatóságának meghatározásához figyelembe kell venni minden olyan módszert, melyet felhasználhatnának az érintett azonosítására, figyelemmel az adatkezelés időpontjában rendelkezésre álló technológiákra és az azonosításhoz szükséges idő mennyiségére.
A közvetlen azonosítás rendszerint név alapján történik. A közvetett azonosítás pedig számos információrészlet kombinációjával.
Az érintett azonosíthatóságát álnevesítési vagy anonimizációs technikák alkalmazásával lehet befolyásolni.
Az „álnevesítés” a GDPR szerint a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik. Ilyenkor az is szükséges, hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehessen hozzákapcsolni.
Ez lehet abszolút, vagy relatív. Tehát, hogy soha senki számára nem azonosítható, vagy csak az adott adatkezelő vagy feldolgozó számára az adott helyzetben nem azonosítható a személyes adat.
Álnevesítés (pszeudonimizálás) esetén a személyes adatok, mint például a név, születési idő, nem, lakcím stb. álnévvel kerülnek helyettesítésre. Az álnevesítő technikák közé tartozik például a kulccsal történő titkosítás, a hash függvény, a tokenizálás stb.
A GDPR nem tartalmazza az anonimizálás definícióját, de azt tisztázza, hogy az anonimizált adat fogalma mit jelent: »az információ nem azonosított vagy azonosítható természetes személyre vonatkozik; vagy »olyan személyes adatok, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható.
Az álnevesített és anonimizált adatok között az a legfőbb különbség, hogy az álnevesített adatokra vonatkozik a GDPR, mert habár az anonimizált adat kiegészítő információ hiányában már nem köthető egy adott érintetthez, az adatalany közvetve azonosítható marad.
Ezzel ellentétben, amennyiben minden azonosítást lehetővé tevő elemet felszámoltunk, azaz anonimizáltuk az adatot, a GDPR nem alkalmazandó. A gyakorlatban azonban nehéz különbséget tenni az álnevesítés és az anonimizálás között, különösen, mert különböző szolgáltatások és technológiák „anonimizálásra” hivatkoznak, pedig valójában „álnevesítés” történt.
Globális adatfolyamok
A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. A személyes adatok gyűjtése és megosztása jelentős mértékben megnőtt. Az emberek egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes adatokat. A technológia egyaránt átalakította a gazdasági és a társadalmi életet, egyszerre kell lehetővé tenni a személyes adatok szabad áramlását, biztosítva egyúttal a személyes adatok magas szintű védelmét. A személyes adat áru és hatalom is egyben, mert a viselkedés befolyásolására alkalmas.
De maradjunk a kisvállalkozások körénél, ma már általános gondolat, ha valaki az üzleti vállalkozását fejleszteni szeretné weboldalt kell üzemeltetnie, így hozza nyilvánosságra hogy létezik, ki ő és mivel foglalkozik.
A következő lépés, hogy az interneten adunk, veszünk árút és szolgáltatásokat, fizetünk a bankkártyánkkal például.
Rögtön felmerül a „sütik” alkalmazásának kérdése, más az adatkezelés összes körülménye, ha adatbázist a szerveren tartják nyilván, vagy felhőszolgáltatónál és ez utóbbinál az adat milyen védelemben részesül, hová továbbítja az adatokat? Az interneten történő adatgyűjtés, adattovábbítás és tárolás kérdésének jogi kezelése bonyolult dolog. Először technikailag kell elhatárolni egyáltalán milyen adatokat gyűjtenek a sütik? Csak a webfelület felhasználását könnyítik-e meg, vagy adatot is gyűjtenek, továbbítanak, aminek a következménye, hogy ajánlatokkal bombáznak, netán politikai tárgyú a felhasználás célja.
A nyilvános hírközlő hálózataiban új, korszerű digitális technológiák bevezetésére kerül sor, amelyek különleges követelményeket támasztanak a felhasználók személyes adatainak és a magánélet tiszteletben tartásához való joguk védelmével kapcsolatban. Az információs társadalom fejlődését az új elektronikus hírközlési szolgáltatások bevezetése jellemzi. A digitális mobilhálózatokhoz való hozzáférés lehetővé és megfizethetővé vált a lakosság széles köre számára. Ezek a digitális hálózatok a személyes adatok kezelése szempontjából nagy kapacitásúak és sok lehetőséget kínálnak. E szolgáltatások határokon átnyúló sikeres fejlődése részben attól függ, hogy a felhasználók bíznak-e abban, hogy a magánélet tiszteletben tartásához való joguk nem kerül veszélybe.
Az Internet felborítja a hagyományos piaci struktúrákat azáltal, hogy közös, világméretű infrastruktúrát biztosít az elektronikus hírközlési szolgáltatások széles körének szolgáltatásához. Az Interneten keresztül nyilvánosan elérhető elektronikus hírközlési szolgáltatások új lehetőségeket jelentenek a felhasználók számára, de egyben új veszélyeket is rejtenek személyes adataik és a magánélet tiszteletben tartásához való joguk vonatkozásában.
Szóval a kkv-k is ezer szállal kötődnek a GDPR-hoz.
A cikk elkészítéséhez felhasználtam:
- az EU Kis és Középvállalatok részére készített tájékoztató anyaga megtalálható a NAIH honlapján: https://naih.hu/files/A-GDPR-egyszeruen-kis-es-kozepvallalkozasok-szamara.pdf,
- a NAIH honlapján fellelhető határozatokat,
- a GDPR és az e-privacy irányelv preambulumát.
Istvánovics Ügyvédi Iroda
www.dristvanovics.hu
