有一些 GDPR 文章与个人对其数据的所有权有关,例如Art。17 GDPR 删除权(“被遗忘权”)和艺术。20 GDPR 数据可移植性权利。如果有人将数据匿名化而无法“恢复”人之间的关系(姓名+电子邮件地址)(这反过来将允许处理个人特定数据),我会说这会与这些 GDPR 文章。是否有数据匿名化技术可以在数据匿名化后“恢复”姓名+联系电子邮件之间的关系?这将允许满足这些 GDPR 规则。
数据匿名化是否与 GDPR 规则冲突?
数据挖掘
匿名化
2022-03-01 23:29:01
1个回答
正式地说,这在 GDPR Recital 26中得到了澄清,非正式标题为不适用于匿名数据:
- 因此,数据保护原则不应适用于匿名信息,即与已识别或可识别的自然人无关的信息,或与以无法识别或不再可识别数据主体的方式匿名的个人数据有关的信息。
- 因此,本条例不涉及此类匿名信息的处理,包括用于统计或研究目的。
通俗地说,声称数据匿名化会侵犯数据主体对数据擦除和可移植性的权利,因此我们应该寻求使用可逆匿名化技术,这听起来很尴尬,也违背了 GDPR 的精神;并且关于匿名化的官方解释非常明确:
有效的数据匿名化由两部分组成:
- 这是不可逆的。
- 这样做的方式是不可能(或极其不切实际)识别数据主体。
换句话说:
- 如果主体的数据已被有效匿名化,则它们不再是个人数据,因此它们不再受 GDPR 管辖;因此,第 17 条和第 20 条不适用,这不构成任何冲突
- 如果用作匿名数据来源的任何个人数据仍然存在,则它们受 GDPR 约束;数据主体可以对这些非匿名数据行使其删除和可移植性的权利
- 如果用作匿名数据来源的个人数据已被删除(可能符合 GDPR),则删除权和可移植权均不再适用,这也不构成任何冲突。
请注意,确保有效匿名化并不像听起来那么明确这一事实也已在数据保护工作组关于匿名化技术的 05/2014 号意见中得到法律承认:
因此,匿名化不应被视为一次性活动,数据控制者应定期重新评估相关风险。