Obecné nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“) nově definuje pojem pseudonymizace, který v předchozí právní úpravě zcela chyběl. Jak již název tohoto institutu napovídá, jedná se o slovo odvozené od anonymizace. Následující text se věnuje vysvětlení tohoto pojmu a jeho dopadům na praxi.
Pojem pseudonymizace je tedy nařízením vymezen jako „zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě“.
Jedná se tedy o postup, při kterém je z osobních údajů oddělena jejich část umožňující určení konkrétního člověka (např. odstraněním jména, rodného číslo atp.), přičemž je stále možné jejich zpětné přiřazení určitému subjektu. Obvykle bude zpětné přiřazení možné pomocí jedinečných identifikátorů, která v souboru dat nahradí údaje umožňující identifikaci osoby.
Pseudonymizovaná data je tak stále možné opět spojit s původními identifikačními údaji (např. opětovným nahrazením jedinečných identifikátorů údaji určujícího konkrétního člověka). Podstatou je, že pseudonymizovaná data a k nim příslušné osobní údaje nejsou umístěny společně, ale na různých místech. Naopak, pokud by se jednalo o anonymizovaná data, jejich zpětné přiřazení určité osobě není možné.
Jednou z výhod pseudonymizovaných dat je, že se velmi dobře hodí k analytickým a statistickým účelům. Navíc podmínky pro zpracování těchto dat nejsou tak přísné jako u osobních údajů. Rovněž pseudonymizace přispívá k zabezpečení osobních údajů, protože např. v případě jejich úniků budou jednotlivé osoby hůře určitelné. Je však stále třeba mít na paměti, že pseudonymizovaná data jsou stále nařízením považována za osobní údaje, a proto se na ně vztahují i příslušné povinnosti uvedené v GDPR (např. poskytnutí informace subjektům o narušení bezpečnosti)
Obecné nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“) jako jeden ze zákonných důvodů pro zpracování některých osobních údajů získání souhlasu subjektu údajů. Protože při získávání osobních subjektů se jedná o zásah do jeho práva na soukromí, tak GDPR stanoví takové podmínky, aby si byl subjekt vědom tohoto následku.
Zobrazit víceJednou z hlavních změn, kterou zavedlo Obecné nařízení o ochraně osobních údajů 2016/679 (GDPR), je povinnost ohlašovat případy, kdy dojde k narušení bezpečnosti ochrany osobních údajů (data breach).
Zobrazit více