Kas yra anonimizavimas?
Anonimizavimas duomenų apsaugos teisinėje bazėje yra iki šiol neapibrėžta sąvoka, kuri praktikoje ne visuomet teisingai interpretuojama ar pritaikoma. Vienas dažniausiai pasitaikančių mitų yra pseudonimizavimo sugretinimas su anonimizavimu, kurį reikia paneigti.
Anonimizavimas tai procesas, kurio metu asmens duomenys pakeičiami tokia forma, kad asmens tapatybė negalėtų būti nustatyta, pavyzdžiui, pateikus kredito kortelės duomenis, duomenys gali būti anonimizuojami asmens vardą ir pavardę pakeičiant į visiškai atsitiktinius vardą ir pavardę, o kredito kortelės numerį – nurodant 16 atsitiktinių skaičių. O pseudonimų suteikimas yra asmens duomenų tvarkymas taip, kad jie nebegalėtų būti priskiriami konkrečiam duomenų subjektui, nesinaudojant papildoma informacija, kuri yra saugoma atskirai. Pavyzdžiui, duomenų valdytojas originalų sakinį „Vardenis Pavardenis, gimęs 1980 m. liepos 18 d., augina katę ir 3 šunis“ pseudonimizuoja į „V. P. 1980 augina katę ir 3 šunis“. Taigi, pseudonimizavimo metu identifikatoriai nėra negrįžtamai pašalinami kaip anonimizavimo atveju, o yra tiesiog nuslepiami atitinkamame duomenų rinkinyje.
Anonimizavimas taip pat neretai yra prilyginimas šifravimui, tačiau tokia nuomonė yra klaidinga. Šifravimas tai technika, kuri pakeičia duomenis specialiaisiais ženklais. Užšifravus asmens duomenis, jų identifikatoriai nėra panaikinami ir tokius duomenis galima sugrąžinti į pradinę padėtį pasinaudojant atitinkamu šifru arba vadinamuoju raktu. Tai reiškia, kad užšifravus duomenis nėra panaikinama galimybė identifikuoti duomenų subjektą, kadangi duomenų valdytojas ir (ar) kiti asmenys turi prieigą prie pirminių asmens duomenų. Anonimizavimo atveju identifikatoriai yra visiškai pašalinami.
Kokie yra pagrindiniai anonimizavimui taikomi reikalavimai?
Iš esmės svarbiausias anonimizavimo kriterijus yra negalėjimas identifikuoti asmens, tačiau šis kriterijus neturi vienareikšmės sampratos ir skirtingose valstybėse gali būti suprantamas skirtingai. Pavyzdžiui, vienose valstybėse negalėjimas nustatyti duomenų subjektų tapatybės yra suvokiamas, kad nėra jokios galimybės nustatyti asmens tapatybę net įdėjus neproporcingai daug pastangų.
Kitos valstybės laikosi požiūrio, kad šis kriterijus reiškia, jog įdėjus proporcingas pastangas nebūtų galima nustatyti asmens tapatybės, tačiau skyrus nepagrįstai daug laiko, darbo ir kitų sąnaudų tokia galimybė atsirastų. Pavyzdžiui, asmuo, puikiai nusimanantis informacinių technologijų srityje, turintis pačias naujausias ir pažangiausias technologijas bei skiriantis visą savo laiką ir lėšas asmens tapatybei identifikuoti, ko gero, tą galėtų padaryti, tačiau tai būtų laikoma neproporcingomis pastangomis.
Lietuvos pozicija šiuo klausimu ganėtinai miglota, tačiau manoma, kad labiau krypstama link pastarojo požiūrio, numatančio, kad negalėjimas nustatyti tapatybės reiškia, jog to negalima padaryti įdėjus proporcingas pastangas. Šis požiūris vyrauja ir Europos Sąjungos reguliavime. BDAR preambulės 26 straipsnis numato, jog nustatant asmens tapatybę reikėtų atsižvelgti į sąnaudas ir laiko trukmę, duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą ir kitus objektyvius veiksnius.
Kitas anonimizavimui taikomas reikalavimas yra teisėtumas. Šis reikalavimas kyla iš BDAR, kuris numato, kad duomenys turi būti tvarkomi teisėtu būdu, esant kažkuriam iš BDAR 6 straipsnyje nurodytų pagrindų.
Kadangi anoniminei informacijai nėra taikomi asmens duomenų apsaugą reglamentuojantys teisės aktai ir principai, natūralu, kad dažnai kyla klausimas – o kodėl anonimizavimui yra taikomas teisėtumo reikalavimas? Atsakymas labai paprastas – duomenų anonimizavimas yra tik technika, skirta asmens duomenis paversti į anoniminę informaciją. Ši technika apima duomenų tvarkymo operacijas, pvz., kuriant apibendrintą statistinę informaciją iš asmens duomenų, tie duomenys yra pritaikomi arba keičiami. Taigi, nepaisant to, kad anonimizavus duomenis jie tampa anonimine informacija, o juos tvarkyti nėra taikomas BDAR, pats asmens duomenų „kelias“ link anoniminių duomenų yra laikomas duomenų tvarkymo operacija, todėl turi būti atliekamas laikantis BDAR nustatytų reikalavimų.
Kokie galimi duomenų anonimizavimo metodai?
Dažniausiai praktikoje yra taikomi randominizavimo ir apibendrinimo metodai. Randominizavimo metodo esmė – keičiant duomenų tikrumą panaikinti aiškią duomenų ir asmens sąsają. Kitaip tariant, randominizavimas – tam tikrų faktų pakeitimas siekiant panaikinti galimybę nuasmenintus duomenis susieti su faktais, pagal kuriuos asmens tapatybė galėtų būti nustatyta. O apibendrinimo metodas apibendrina duomenų subjektų požymius arba, kitaip tariant, požymiai yra susilpninami, pakeičiant atitinkamą mastelį arba dydžio eilę, pvz., informaciją pateikiant ne miesto, o regiono mastu, ne savaitės, o mėnesio apimtimi ir panašiai.
Šie metodai dažniausiai yra taikomi automatizuotai naudojant įvairiausias technologijas, tačiau būtų klaidinga manyti, kad anonimizuojant duomenis galima apsieiti be žmogaus įsikišimo . Nepaisant to, kad automatizuotas procesas gali būti labai naudingas šalinant tiesioginius identifikatorius, tam tikrais atvejais jis gali neužfiksuoti netiesioginių identifikatorių, kurie gali būti pastebimi tik žmogaus akiai. Be žmogaus įsikišimo taip pat būtų sunku nustatyti konkrečius metodus, kurie būtų efektyviausi anonimizuojant duomenis.
Anonimizavimo metodai turi būti parenkami atidžiai, atsižvelgus į asmens duomenų tvarkymo pobūdį, apimtį, tikslus, taip pat į galimus pavojus asmens teisėms ir laisvėms bei kitus veiksnius. Dėl šių priežasčių anonimizavimo rezultatai gali ženkliai skirtis.
Populiariasi mitai apie anonimizavimą
Na, ir, žinoma, kaip be mitų? Kaip ir kiekvieną asmens duomenų tvarkymo procesą, taip ir anonimizavimą gaubia šydas mitų.
1 MITAS. Asmens duomenų anonimizavimas yra galimas visais atvejais, o jo padariniai yra amžini.
FAKTAS. Taip galvoti yra klaidinga. Tam tikrais atvejais, kai norima išsaugoti duomenų rinkinio informaciją, duomenų anonimizavimas nėra įmanomas, priklausomai nuo asmens duomenų pobūdžio ar konteksto, pvz., kai renkami asmens duomenys pasižymi konkrečiam asmeniui būdingomis specifinėmis ypatybėmis, kurių neįmanoma anonimizuoti, ne po šio proceso duomenys arba visiškai prarastų juose esančią informaciją, arba iš jų būtų galima identifikuoti asmens tapatybę (pvz., renkant biometrinius asmens duomenis). Taigi tam tikrais atvejais gali nepavykti pasiekti pusiausvyros tarp identifikavimo galimybės panaikinimo ir duomenų rinkinio informacijos išsaugojimo.
Taip pat svarbu atkreipti dėmesį ir į tai, kad net pavykus anonimizuoti duomenis, negalima tvirtai teigti, jog duomenys išliks anonimizuoti amžinai. Taip yra todėl, kad dėl spartaus informacinių technologijų tobulėjimo atsiranda tikimybė, jog atsiras naujų būdų, kurie leis deanonimizuoti duomenis ir jie taps prieinami daugeliui. Be to, bėgant laikui yra atskleidžiama vis daugiau asmens duomenų, todėl atsiranda galimybė, jog juos susiejus su jau anonimizuotais duomenimis asmens tapatybę ateityje pavyks nustatyti.
2 MITAS. Anonimizavus duomenis jie tampa beverčiais.
FAKTAS. Žinoma, anonimizavimas visada apribos būdus, kuriais asmens duomenys gali būti panaudojami, tačiau tai nereiškia, kad anonimizuoti duomenys taps visiškai nenaudingi. Veikiau reikėtų teigti, kad duomenų naudingumas priklausys nuo pirminio nustatyto duomenų panaudojimo tikslo ir nuo to, kokiu mastu duomenys bus anonimizuoti.
3 MITAS. Anonimizuotų duomenų subjekto tapatybės nustatyti neįmanoma.
FAKTAS: Duomenis gali būti bandoma deanonimizuoti dėl įvairių priežasčių: smals
umo, atsitiktinumo, tam tikro intereso (moksliniai tyrimai, žurnalistika, nusikalstama veikla). Be to, net atskleidus iš pažiūros nekenksmingus duomenis, pvz., apie asmens žiūrimus filmus, gali būti išaiškintos to asmens politinės pažiūros, seksualinė orientacija ir kiti jautrūs duomenys, kurie gali pakenkti duomenų subjekto reputacijai ar turėti kitų skaudžių padarinių.
Taigi, metas nustoti tikėti sklandančiais mitais ir pasirūpinti asmens duomenų apsauga, kuri gali būti užtikrinta tinkamai anonimizavus asmens duomenis.