Pokyny k pseudonymizaci dat podle GDPR

Led 19, 2025 | Aktuality

Evropská rada pro ochranu údajů (EDPB) vydala 16. ledna 2025 dokument nazvaný “Pokyny 01/2025 k pseudonymizaci”. Dokument přináší komplexní návod, jak využít pseudonymizaci jako důležité opatření pro ochranu osobních údajů v rámci evropské legislativy o ochraně údajů.

Pokyny EDPB zdůrazňují, že pseudonymizace je klíčovým opatřením pro splnění požadavků Obecného nařízení o ochraně údajů (GDPR), jako je ochrana údajů při návrhu, minimalizace údajů a bezpečnost zpracování. Dokument poskytuje podrobný návod k implementaci technických a organizačních opatření a uvádí reálné příklady, jak snížit rizika spojená se zpracováním osobních údajů.

Dokument definuje pseudonymizaci jako proces, který upravuje osobní údaje tak, aby nebylo možné přiřadit je ke konkrétní osobě bez dodatečných informací. Tyto informace musí být chráněny a uchovány odděleně. Pseudonymizace pomáhá snižovat riziko neoprávněného přístupu a současně zachovává možnost analýzy dat.

Co je pseudonymizace?

Pseudonymizace je definována v článku 4 GDPR jako proces, při kterém jsou osobní údaje upraveny tak, aby nebylo možné přiřadit je ke konkrétnímu subjektu bez použití dodatečných informací. Tyto informace musí být uchovávány odděleně a chráněny technickými a organizačními opatřeními. Tento proces pomáhá snížit riziko neoprávněného přístupu a zároveň umožňuje analyzovat data bez odhalení identity jednotlivců.

Klíčová doporučení dokumentu

  1. Technická opatření:
    • Používání kryptografických algoritmů (např. jednosměrné funkce nebo šifrování).
    • Oddělení dodatečných informací (např. tabulky s přiřazením pseudonymů).
    • Ochrana před reverzí pseudonymizace pomocí kontrol přístupu.
  2. Organizační opatření:
    • Definice pseudonymizační domény, tedy okruhu osob a subjektů, kteří mohou s pseudonymizovanými daty pracovat.
    • Školení zaměstnanců, aby porozuměli správnému zpracování pseudonymizovaných dat.
    • Uzavírání smluv s externími zpracovateli, aby byly dodržovány podmínky pseudonymizace.

Příklady praktického využití

  • Sekundární výzkum: Data z klinických studií mohou být pseudonymizována před sdílením s vědeckými institucemi, aby byla chráněna identita pacientů.
  • Přenos dat do třetích zemí: Osobní identifikátory jsou nahrazeny pseudonymy a dodatečné informace jsou uchovány pouze v EU.
  • Archivace dat: Historická data mohou být pseudonymizována, což umožní jejich dlouhodobé uchování při zachování zásad minimalizace údajů.

Dokument ke stažení zde

Zpět na aktuality