Data hrají v digitální ekonomice klíčovou roli a jejich sdílení může otevřít nové příležitosti. Firmy mohou například shromažďovat podrobnosti o zákaznících, včetně osobních údajů, a používat je k lepšímu zákaznickému zážitku a marketingovému úsilí.
Firmy shromažďují data, jako je vaše jméno, poloha a e-mailová adresa, což jim pomáhá nabízet vám a nové zákazníky. Pokud tak učiníte, vystavujete je riziku úniku dat.
Aby společnosti mohly používat data pro obchodní projekty a zároveň dodržovat zákony na ochranu osobních údajů, jako je GDPR, možná budou muset osobní údaje anonymizovat nebo pseudonymizovat. Co tedy tyto dva pojmy znamenají a jaký je mezi nimi rozdíl?
Co jsou anonymní data?
Anonymní údaje jsou informace, které nelze zpětně vysledovat ke konkrétní osobě, a to ani organizací, která je zpracovává, ani jinou fyzickou osobou.
Osobu lze přímo identifikovat z údajů, jako je její jméno, telefonní číslo a adresa. Cílem anonymizace dat je odstranit z dat osobní identifikátory a znemožnit identifikaci konkrétní osoby od zbytku dat.
Cílem je také, aby byl proces trvalý. Údaje lze považovat za anonymní pouze v případě, že není možné znovu identifikovat osobu. To znamená, že žádná strana a osoby, které používají známé metody opětovné identifikace, by neměly být schopny zjistit, kdo je subjekt údajů.
Co jsou pseudonymní data?
Pseudonymní znamená použití jiného než vašeho skutečného jména. Například mnoho autorů, včetně J.K. Rowlingová, celým skutečným jménem Joanne Kathleen Rowlingová, píše pod pseudonymy jako Robert Galbraith.
Pseudonymní údaje jsou osobní údaje, které byly změněny tak, že původní subjekt údajů nelze identifikovat bez přidání dalších podrobností.
Anonymní a pseudonymní údaje podle GDPR
Podle Obecné nařízení o ochraně osobních údajů (GDPR), anonymizované údaje jsou údaje, které byly změněny tak, že je nelze použít k identifikaci konkrétní osoby.
Vzhledem k tomu, že anonymní údaje neobsahují osobně identifikovatelné údaje (PII) a proces je nevratný, jsou vyňaty z GDPR. Mějte na paměti, že anonymizace dat může zničit hodnotu, kterou data pro vaši společnost mají.
GDPR definuje pseudonymní údaje jako údaje, které byly zpracovány takovým způsobem, že je nelze zpětně vysledovat k identifikované nebo identifikovatelné fyzické osobě bez použití dalších informací. Tyto dodatečné informace jsou uloženy odděleně a jsou nutné k identifikaci subjektu údajů.
Vzhledem k tomu, že lze identifikovat pseudonymní údaje, GDPR je považuje za osobní údaje.
Jak anonymizovat data
Anonymizace dat je akce odstranění jakýchkoli podrobností, které by mohly být použity k identifikaci konkrétní osoby, jak toho tedy lze dosáhnout?
Substituce
Substituce je proces nahrazení konkrétních dat novým identifikátorem. Citlivé informace můžete například nahradit alternativním identifikátorem, jako je „Účastník-1“, místo jména osoby.
Přídavek hluku
Sčítání šumu je často definováno jako zakrývání dat přičtením nebo odečtením malého náhodného čísla k části číselných dat, jako je váha. Můžete například zaokrouhlit váhu osoby na nejbližší násobek pěti místo toho, abyste uvedli přesnou hodnotu.
Agregace
Agregace je seskupování lidí, kteří sdílejí složky svých osobních údajů, a zároveň odstraňují identifikační vlastnosti. Můžete seskupit lidi podle regionu a ne podle jejich přesných míst. Místo přesné polohy „San Francisco“ můžete například použít „Západní pobřeží“.
Jak Pseudonymizovat Data
U mnoha společností prochází mnoho osobních údajů přes IT, marketing a HR oddělení. Pseudonymizace může pomoci udržet taková data v bezpečí a zabránit možnému úniku dat— a přitom umožňuje jeho použití pro účely, jako je výzkum a analýzu dat. Zde jsou běžné pseudonymizační techniky.
Šifrování dat
Šifrování dat mění osobní údaje tak, že je bez dešifrovacího klíče znemožňují, a tím je chrání. Dešifrování dat pro použití je vrátí do původní podoby. Většina z nás již používá určitou formu šifrování, zejména hesla, která by měla být obvykle uložena v trezoru hashované nebo hashované a osolené formy, spíše než v prostém textu (doslova, jak to zní: jako prostý, snadno čitelný text).
Tokenizace
Tato metoda chrání data nahrazením citlivých osobních údajů necitlivými daty, známými jako tokeny. Token může být náhodná čísla nebo řetězec čísel používaných k identifikaci osoby, aniž by došlo k ohrožení jejích osobních údajů.
Maskování dat
Maskování dat je proces nahrazení určitých částí osobních údajů symbolem nebo jiným zástupným symbolem, jako jsou hvězdičky pro první čtyři číslice vašeho čísla sociálního zabezpečení.
Jaké jsou výhody Pseudonymizace a anonymizace dat?
Anonymizace a pseudonymizace dat jsou způsoby ochrany osobních údajů a zároveň umožňují správcům údajů těžit z jejich užitečnosti. Jaké jsou ale skutečné výhody pseudonymizace a anonymizace dat?
- Anonymizace i pseudonymizace minimalizují potenciální újmu subjektů údajů, která může vyplynout z porušení zabezpečení údajů. To pomáhá zpracovatelům údajů a správcům plnit jejich povinnosti v oblasti ochrany údajů.
- Anonymizace zajišťuje důvěrnost soukromých údajů a minimalizuje dotazy a stížnosti týkající se zveřejňování informací získaných z osobních údajů. Anonymizovaná data můžete také uchovávat po neomezenou dobu.
- Pseudonymizace nejen chrání data, ale také pomáhá společnostem dodržovat GDPR a podobná nařízení týkající se dat. Techniku lze také použít v produkčních systémech k dočasnému uložení původních osobních údajů během anonymizace.
- Pokud zákazníkům ukážete, že jste zodpovědní a dodržujete pravidla týkající se údajů, pravděpodobně budou vaší firmě více důvěřovat, což může mít za následek opakované zvyky. S trochou důvěry jde hodně daleko.
Dosáhněte růstu založeného na datech při zachování soukromí
Společnosti dnes musí přijmout opatření k zabezpečení osobních údajů a dodržovat zákony na ochranu soukromí, jako je GDPR. Aby společnosti využily sílu dat a zároveň chránily soukromí klientů, měly by osobní údaje anonymizovat nebo pseudonymizovat.
Anonymizovaná data jsou zcela zbavena všech identifikačních informací, což znemožňuje propojení dat zpět s konkrétní osobou. Pseudonymní údaje mají odstraněny některé identifikační údaje, ale stále je lze zpětně propojit s konkrétní osobou.
Pro další ochranu osobních údajů by společnosti měly zvážit zavedení přísných bezpečnostních opatření, včetně provádění pravidelných hodnocení rizik a auditů, monitorování a kontroly přístupu.