GDPR & Big Data Analysis – Πλαίσιο Ανωνυμοποίησης vs Ψευδωνυμοποίησης

Οι τεχνικές ανάλυσης μεγάλου όγκου δεδομένων (big data analysis techniques) έχουν πλέον εδραιωθεί σε αρκετούς οργανισμούς και φορείς. Ο λόγος είναι το γεγονός ότι έχουν αποδειχθεί αρκετά χρήσιμες και αποτελεσματικές στην επίλυση προβλημάτων, όπως αξιολόγηση πιστοληπτικών κινδύνων, χορήγηση δανείων και προσωποποιημένες προσφορές πελατών, αλλά και στην προσέλκυση νέων πελατών αξιοποιώντας υπάρχουσα χρηματοοικονομική πληροφορία ή δημιουργώντας νέες υπηρεσίες προστιθέμενης αξίας.

Κατά την εξυπηρέτηση αυτού του σκοπού, τα Big Data Projects συχνά εμπλέκουν πολλά τμήματα με διαφορετικές πηγές πληροφόρησης (information variability). Ένα τέτοιο παράδειγμα αποτελούν τα projects “έξυπνων πόλεων” τα οποία περιλαμβάνουν ουσιαστικά προφίλ δραστηριοτήτων, με παρεχόμενα οφέλη τόσο σε ατομικό (υπηρεσίες μεταφοράς, λιανικό εμπόριο, κτλ.) όσο και σε δημόσιο (δημόσιες επιχειρήσεις και κοινοτικές υπηρεσίες) επίπεδο.

Συνεπώς είναι εύληπτο πως τέτοιες βάσεις δεδομένων περιλαμβάνουν μεγάλο εύρος προσωποποιημένων πληροφοριών ταυτοποίησης (όπως όνομα, επίθετο, ηλικία, μισθό, δαπάνες, κτλ.), των οποίων η ανάλυση μπορεί να οδηγήσει στην επεξεργασία προσωπικών δεδομένων και κατ’ επέκταση υπόκεινται στους νομικούς κανονισμούς προστασίας δεδομένων. Άλλωστε, τα συστήματα διαχείρισης πληροφοριών (ERP, management software) αποτελούν ουσιαστικά πρόσφορο έδαφος για την ανάπτυξη και χρήση τεχνικών Big Data, τα οποία με τη σειρά τους έχουν ως κοινό παρονομαστή τη χρήση στατιστικών εργαλείων.

Παράλληλα, από τον Μάϊο 2018 και έπειτα, οι παραπάνω διαδικασίες θα πρέπει να συμμορφώνονται με το νομικό πλαίσιο της ΕΕ 2016/679 του Ευρωπαϊκού Κοινοβουλίου, σχετικά με την προστασία των φυσικών προσώπων και την επεξεργασία και διακίνηση προσωπικών δεδομένων (GDPR). Κατ’ επέκταση όλα τα Big Data projects θα πρέπει να αξιολογούνται βάσει αρχών, στις οποίες οι επιμέρους επιχειρησιακές διαδικασίες θα πρέπει να είναι σύμφωνες και συμμορφωμένες.

Σε αυτό το πλαίσιο οι διαδικασίες ανωνυμοποίησης αποτελούν απτή επιλογή για τους φορείς που εκτελούν Big Data projects, όπου σύμφωνα με τον GDPR (Recital 26) οι αρχές προστασίας δεδομένων δεν αφορούν την περίπτωση όπου η επεξεργαζόμενη πληροφορία δεν μπορεί να αποδοθεί σε ταυτοποιημένο ή ταυτοποιήσιμο άτομο. Υπό αυτό το σκεπτικό οι διαδικασίες ανωνυμοποίησης αποτελούν ουσιαστικά δραστηριότητες επεξεργασίας προσωπικών δεδομένων (εξαρτώμενες ανά περίπτωση) και υπόκεινται στις ισχύουσες νομικές διατάξεις.

Σε αντίθεση με την Οδηγία 95/46/EC, ο GDPR ορίζει την έννοια της ψευδωνυμοποίησης, η οποία είναι διαφορετική με την έννοια της ανωνυμοποίησης. Υπάρχει μια διττή απαίτηση που θα πρέπει να τηρούν οι εταιρείες που χρησιμοποιούν τεχνικές ψευδωνυμοποίησης. Από τη μία πλευρά η ψευδωνυμοποίηση απαιτεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αποδοθούν σε ένα συγκεκριμένο άτομο χωρίς τη χρήση πρόσθετων πληροφοριών. Οι πληροφορίες αυτές θα πρέπει να υπάρχουν ξεχωριστά και με συγκεκριμένα τεχνικά και οργανωσιακά μέτρα ασφαλείας, τα οποία θα εγγυώνται ότι ένας πιθανός σύνδεσμος με ένα ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο δεν μπορεί να γίνει. Είναι σημαντικό να αναφερθεί πως αν και η ψευδωνυμοποίηση μπορεί να θεωρηθεί ως ένα χρήσιμο μέτρο ασφαλείας κατά τη διαδικασία της ανωνυμίας προσωπικών δεδομένων, από μόνη της δεν μπορεί να θεωρηθεί ως μια διαδικασία ανωνυμοποίησης εάν δεν εφαρμοστούν περαιτέρω μέτρα ώστε να αποφευχθεί η ταυτοποίηση των ατόμων.

Τέλος και πέραν της κάθε διαδικασίας ανωνυμοποίησης προτείνεται η εφαρμογή ανάλυσης κινδύνου ή ακόμα και αξιολόγησης των επιπτώσεων στην προστασία δεδομένων. Ο κίνδυνος επαναπροσδιορισμού των ατόμων υπόκειται δεόντως στη διοίκηση και αντιμετωπίζεται θεσπίζοντας τεχνικά, οργανωτικά και άλλα είδη μέτρων ασφαλείας. Η ανάλυση κινδύνου ή η αξιολόγηση του αντικτύπου προστασίας δεδομένων θα πρέπει να επανεξετάζεται περιοδικά, λαμβάνοντας κυρίως υπόψιν ότι ο κίνδυνος επαναπροσδιορισμού μπορεί να αυξηθεί με την πάροδο του χρόνου.

Η υλοποίηση έννομων έργων Big Data και οι τεχνικές ανωνυμοποίησης θα εξαρτώνται πλέον σε μεγάλο βαθμό από την ταχύτητα εξέλιξης της τεχνολογίας. Επιπλέον, είναι αναγκαίο οι νομοθέτες και λοιποί ενδιαφερόμενοι να παραμείνουν ενημερωμένοι, για την παροχή ασφαλών και αξιόπιστων απαιτήσεων. Βασικός οδηγός είναι οι κατευθυντήριες γραμμές των Αρχών Προστασίας Προσωπικών Δεδομένων για τον καθορισμό αποτελεσματικών κανόνων.

Share