Množstvo ľudí v biznise, a to najmä z radov manažérov, si po zavedení GDPR nie sú istí, akými úkonmi dosiahnuť, že uchovávanie údajov nebude zasahovať do súkromia klientov. Pseudonymizácia, anonymizácia či depersonalizácia? Kto sa má v tom orientovať? Našťastie sa dá táto oblasť “po lopate“ vysvetliť práva na príklade Vianočných darčekov. Nebojte, ešte som dnes, nepil. Tie dve témy naozaj spolu súvisia:
Darčeky samozrejme nosí Ježiško, na tom sa nič nemení (už stáročia). Ale tí z našej rodiny, ktorých Ježiško poprosil o pomoc, sa každoročne snažili urobiť všetko preto, aby sa neprezradilo, kto Ježiškovi pomáhal s konkrétnym darčekom. Rodina kúpila niekoľko roliek toho istého baliaceho papieru, takže všetky darčeky boli v tom istom papieri. Menovky sa zásadné písali paličkovými písmenami, aby pisateľa neprezradil rukopis. (OK, v rodine grafológa toto môže byť komplikované, ale možno sa dajú menovky natlačiť)
Keď sa na to pozriete s dostatočným odstupom, v podstate sme sa snažili utajiť osobné údaje toho, kto jednotlivé darčeky pod stromček (samozrejme s poverením od Ježiška) uložil. Aký stupeň ochrany osobných údajov sa nám však darí pri darčekoch dosiahnuť? Je čas na kúsok teórie:
Depersonalizácia je postup, v ktorom zbavím údaje zjavných, osobu stotožňujúcich údajov alebo odkazov na ne. Údaje však zostávajú stále nechránené a je možné z nich vyčítať dôležité informácie alebo dokonca priamo stotožniť danú osobu. Ide len o zneplatnenie evidentných ukazovateľov na danú osobu.
Pseudonymizácia je proces, ktorý narába s osobnými údajmi tak, že údaje nie sú ešte anonymnými, ale už nie sú ani priamo identifikujúce. Ide o spracovanie osobných údajov takým spôsobom, že údaje už nemožno pripísať konkrétnej dotknutej osobe bez použitia ďalších informácií. Pseudonymizáciu už možno považovať za techniku, ktorá zvyšuje ochranu osobných údajov, ale je dostatočnou iba pre niektoré typy spracovania dát.
Anonymizácia je úplne odstránenie osobných údajov alebo čo i len príznakov, ktoré by viedli (aspoň) k nepriamej identifikácii daného človeka. Po anonymizácií by nemal byť schopný stotožniť dáta dokonca ani ten, kto anonymizáciu realizoval. Odstránenie osobných údajov je trvalé a nevratné, teda stotožnenie nie je možné ani v budúcnosti a to ani na základe dodatočných informácií.
Fíha, že sa Vám to trochu prelína a pletie? Nuž poďme si teda postupne vysvetliť, za pomoci Vianočných darčekov, ktorá metóda ako v praxi funguje:
Rodina, kde sa darčeky nebalia do žiadneho baliaceho papiera a ľudia si ich nedávajú pod stromček s menovkami, ale priamo odovzdávajú (áno, aj také rodiny poznám) neprichádza k žiadnej „ochrane osobných údajov.“ Rovnako to by bolo aj keby ste si darovali vouchery zakúpené cez web na konkrétnu email adresu alebo ste zabudli v balení darčeku účtenku s číslom karty, ktorou ste to zaplatili. Hoci mnohí by namietali, že neviem predsa číslo karty všetkých rodinných príslušníkov, v očiach zákona je to jednoznačný identifikátor.
V rodine, kde by ste zahodili všetky účtenky a vyčiernili časť emailových adries (napr. fer__nand.vitek@email.com) z webových nákupov, ale neriešili baliace papiere, menovky a iné záležitosti, dosiahli by ste len depersonalizované darčeky. Formálne teda nie je explicitne napísané, kto daný darček kúpil, ale v skutočnosti je to aj tak identifikovateľné, lebo napríklad Ferdinand je jeden z možných pôvodcov darčeku. (viac o tom nižšie). Depersonalizácia údajov je pomerne naivný spôsob, ktorý používajú televízie a dokonca aj prokuratúra a policajti, (napr. obvinený Marián K.) a ktorý z hľadiska GDPR vôbec nemusí (a zväčša ani nie je) dostatočný pre skutočnú ochranu osobných údajov.
Ak by ste chceli dosiahnuť aspoň pseudonymizovaného Ježiška pod stromčekom, potrebujete mať aspoň spoločný baliaci papier darčekov. Ak by totiž mal každý svoj vlastný baliaci papier, dá sa jednoducho určiť, koho je koho (stačí sa pozrieť ktorý zo vzorov baliaceho papiera daná osoba nemala na žiadnom darčeku a to je osoba, od ktorej nič nedostal. Keby mal každý práve jednu takú osobu, je jasné, kto je kto). Okrem toho by bolo potrebné mať aj menovky na darčekoch predtlačené alebo štandardizované, aby neprezradili adresáta. Ak by sme chceli byť striktní, tak by musel ešte prísť sused a poprehadzovať darčeky tak, aby nik nevedel, kto v akom poradí darčeky pod stromček položil.
V reálnom živote môže byť presudonymizácia dostatočným opatrením pre prenos dát, ale nie je dostatočnou ochranou pre uchovanie dát alebo dodržanie niektorých špecifických GDPR požiadaviek klienta (napr. právo na zabudnutie).Dáta totiž možno stotožniť aj nepriamo, pomocou kombinácie informácií z ktorých žiadna sama o sebe neurčujú konkrétnu osobu, ale ich vzájomná kombinácia už áno. Napríklad vysoký ústavný činiteľ, obyvateľ Popradu ani aktívny politik nie sú samé o sebe jasne určujúce. Ale ak viem o tom istom, človeku, že je momentálne aktívnym politikom zastávajúcim vysokú ústavnú funkciu a žije v Poprade, už je to presne určená osoba. Ak teda v praxi chcete obstáť v teste, že údaje sú plne anonymizované (viď čochvíľa), musíte dosiahnuť, že nech zoberiete ľubovoľnú kombináciu údajov o niektorej osobe vo Vašej databáze, vždy existujú aspoň dve osoby, ktorú majú takúto kombináciu, teda nie je možné z kombinácie určiť o koho presne ide. (napr. premiér zo SMER-SD). Aby ste tento stav dosiahli, musíte postupne škrtať (rozumej vymazať) údaje, u ktorých neexistujú aspoň dvaja s rovnakou kombináciou príznakov. Keďže sa pochopiteľne snažíte splniť požiadavku anonymizácie tak, aby ste zároveň zachovali čo najviac údajov, zabúdať je potrebné postupne, preto sa táto metóda anonymizácie volá Postupné zabúdanie.
Dosiahnuť anonymizované Vianoce by bolo v praxi takmer nemožné. Tak, ako v reálnej dátovej praxi, aj pri Vianociach sú požiadavky na anonymizované údaje príliš prísne. Balíčky by museli byt približné rovnako veľké, aby sa nedalo zistiť, že ten najväčší alebo najmenší bol od niekoho. Darčeky by museli byť aj približne rovnakej finančnej hodnoty, aby nebolo jasné, že majetnejší rodičia kúpili drahšie darčeky deťom alebo naopak. Rovnako by muselo byť anonymizované poradie v akom darčeky budú pod stromčekom uložené, čo by musel byť dosiahnuté tým, že ich niekto po tme bude vyťahovať náhodne z vreca. Podmienka Anonymizácie je však splnená iba ak ani samotní autori by nevedeli zrekonštruovať, kto je strojcom ktorého z darčekov. A to je v skutku krutá požiadavka. To by si totiž vyžadovalo, aby bolo z každého darčeka aspoň 2 rovnaké kusy, aby nebolo zrejmé, ktorý z tých dvoch kusov bol od koho. Takto okyptené Vianoce by teda zrejme skončili ako masívna ponožková smršť alebo súbor obálok s rovnakou sumou peňazí. V oboch prípadoch pomerne smutné Vianoce.
Ilustračný príklad Vianočných darčekov som si vybral aj preto, lebo dokumentuje ako nezmyselná môže byť ochrana osobných údajov. To, čo pôvodne mala byť snaha o „zatajenie Ježiškovho pomocníka“ sa pri dotiahnutí do plnej anonymizácie stáva kontraproduktívnym a potláča aj niektoré základné princípy Vianoc. Podobne to totiž je aj v reálnom živote. Pôvodne dobre mienená ochrana údajov neraz v praxi prerastá do bizarných situácií (ako rodičia školopovinných detí nemôžu osloviť rodičov spolužiakov ich dieťaťa bez GDPR súhlasu, …). Je teda pravdepodobné, že podobne ako nebudeme stáť o anonymizované Vianočné darčeky, aj v prípade GDPR nastane určitá korekcia vzad. Dovtedy Vám však prajem, celkom personalizovane, príjmené Vianočné sviatky a PF 2019!
Mohlo by Vás ešte zaujímať:
Viete, čo je XAI? Ej veru, mali by ste.
Publikované dňa 24. 12. 2018.