említettem már az utóbbi időben, hogy az Általános Adatvédelmi Rendelet (GDPR) bonyolult törvény? Persze, vannak olyan alapelvek, mint például a Privacy by Design (Pbd) és más ötletek, hogy ha egyszer megérted, az egésznek több értelme van. De rengeteg meglepetés van, amikor belemerül a legalese-be. Például álnevesítés.

mi ez?

mielőtt elmagyaráznánk az álnevesítést, fontos megérteni, hogy az EU GDPR csak személyes adatokra vonatkozik. Ez az, amit az Egyesült államokban személyesen azonosítható információnak (PII) hívnánk. Gondoljon a nevekre, címekre, telefonszámokra, számlaszámokra és újabban az e-mail-és IP-címekre.

milyen Személyes adatok és nem

mi történik, ha eltávolítja ezeket a személyes adatok azonosítóit mondjuk egy táblázatból vagy jelentésből vagy más fájltartalomból?

Ön mentesül a hivatalos GDPR előírások (és bírságok) alól.

Önnek sem kell megvalósítania az összes Adatvédelmi alapelvet– minimalizálás, megőrzési tervek—és biztonsági biztosítékokat ezekre a nem személyes adatokra vonatkozóan.

az Ön vállalatának szellemi tulajdona — szoftverek, világuralomra vonatkozó üzleti tervek és egyéb szellemi tulajdon — szintén nem tartozik a GDPR hatálya alá.

Igen, ez azt jelenti, hogy ha a hackerek ellopják a következő nagy termékbevezetés marketingterveit, akkor nem kell jelentenie az esetet a helyi adatvédelmi hatóságnak vagy a DPA — nak

természetesen egy vállalat továbbra is Adatvédelmi intézkedéseket szeretne tenni-javasolhatunk-e inside out megközelítést? – a tartalmáért, de a GDPR nem követeli meg!

A titkosítás nem megoldás

vissza a személyes adatokhoz. A legtöbb vállalat nem tudja egyszerűen megfosztani a tartalmától. Bár nem rossz ötlet minimalizálni azokat a fájlokat, ahol ezek a személyes adatok megjelennek.

a személyes adatokat tartalmazó tartalmak kezelésének egyik módja a GDPR terheinek csökkentése.

a GDPR értelmében, ellentétben a régebbi Adatvédelmi Irányelvekkel, az adatok titkosítása bizonyos előnyökkel jár. Kifejezetten megemlítik, mint a személyes adatok feldolgozásának biztonságának legitim módját—ez a törvény egyik legfontosabb követelménye.

azok a vállalatok, amelyek titkosítják személyes adataikat, szintén előnyt élveznek azzal, hogy nem kell értesíteniük az érintetteket jogsértés esetén. (Ennek ellenére értesíteniük kell a helyi DPA-t.)

a titkosítás olcsó trükk, amely lehetővé teszi az EU GDPR szabályainak elkerülését?

Ez nem egy rossz trükk, és van néhány előnye, de nem olcsó.

IOS filozófiánkban a titkosítást a fájladatok biztonságának lehetséges, de nagyon praktikus megoldásának tekintjük. Egyszerűen fogalmazva: a személyes adatokat tartalmazó fájlok nagykereskedelmi titkosítása nagyon megnehezítené vagy szinte lehetetlenné tenné az alkalmazottak számára a munkájuk elvégzését.

mint már mondtuk végig, a fájlrendszer az, ahol az alkalmazottak megtartják és megosztják azokat a tartalmakat (táblázatok, dokumentumok, prezentációk), amelyeken most dolgoznak. Ez a virtuális íróasztaluk, és egy titkosítási réteg hozzáadásával tetszik a dolgok mozgatása és az asztaluk még hanyagabbá tétele-ezt senki sem szereti!- amellett, hogy adminisztratív szempontból nehéz kezelni.

Álnevesítés: az azonosítók helyettesítése kódokkal

és ez végül elvezet minket az álnevesítéshez.

Ez egy GDPR által jóváhagyott technika a személyes adatok kódolására annak érdekében, hogy csökkentse a törvény egyes terheit.

az ötlet az, hogy a személyes azonosítókat véletlenszerű kóddal helyettesítsük. Ugyanez a gondolat áll az írók mögött, akik álneveket használnak identitásuk elrejtésére. A GDPR azt mondja, hogy ezt nagyobb léptékben teheti meg, hogy csökkentse a GDPR néhány követelményét.

általában szükség van egy beviteli rendszerre, amely feldolgozza a nyers adatok azonosítóit, és átalakítja őket ezekre a speciális kódokra. Kell lennie egy főtáblának, amely visszaképzi a kódokat a valódi azonosítókba azoknak a folyamatoknak, amelyeknek szükségük van az eredeti információra.

ezzel a megközelítéssel az alkalmazottak álnevesített fájlokkal dolgozhattak, amelyekben az érintettek személyazonossága rejtve lenne. A fájl többi része természetesen olvasható lenne.

a részleges titkosítás talán az egyik módja ennek a technikának a gondolkodására.

a titkosításhoz hasonlóan az álnevesítést is biztonsági védelmi intézkedésnek tekintik (lásd a 32.cikket), és kifejezetten megemlítik “Adatvédelem által tervezés és alapértelmezés szerint” vagy PbD technikaként (lásd a 25. cikket). Személyes adatminimalizálási technikának is tekintik — nagyon fontos a GDPR szempontjából.

és az adatok megsértése esetén a nem ügyvéd számára úgy tűnik, hogy az érintetteket nem feltétlenül kell értesíteni, ha álnevesített adataikat ellopják. Technikailag attól függ, hogy van-e elegendő kvázi azonosító az ellopott fájlban — emlékezzen az irányítószámra, a születési dátumra és a nemre — ahhoz, hogy a hackerek újra azonosíthassák az érintettet.

mindenesetre az álneveknek más előnyei is vannak. Az IAPP emberek-az Adatvédelmi profik nonprofit szervezete, amely széles körben írt a GDPR-ről-nagyszerű blogbejegyzéssel rendelkezik, amely többet elmagyaráz róla.

és még többet fogok írni erről a témáról egy későbbi bejegyzésben.