A személyes adat, álnevesített adat illetve anonim adat fogalmi kereteinek tisztázása az adatvédelmi jog alapvető, de újra és újra visszatérő kérdésének tekinthető, és ugyan a fogalommeghatározások érdemben alig változtak az elmúlt években, a technológiai változások következtében e fogalmak gyakorlati alkalmazása nagyon is: amit néhány éve anonimizált adatbázisnak lehetett tekinteni, az ma már könnyen lehet, hogy csak álnevesített, vagy akár közvetlen azonosítást is lehetővé tevő személyes adatnak minősül. Az anonimizálással kapcsolatos problémákat és félreértéseket jól illusztrálja néhány ismert eset, amelynek során az anonimizálási törekvések látványos kudarcot vallottak.
Régóta ismert, hogy a pontos születési dátum, az irányítószám és a nem hármas adatkör nagyon sok esetben egyedi, azaz mindössze egyetlen emberre jellemző. Az USA 1990-es népszámlálási adatain végzett vizsgálat során ez a lakosság 87,1 %-ára volt jellemző.[2] Magyarországon ez a szám 78,4%, és ha a fenti adatkörön túl további adat is rendelkezésre áll, akkor az azonosítási kockázat 94% fölé emelkedhet.[3] Amennyiben tehát valaki olyan adatbázis tartalmát ismeri meg, amelyben nem aggregált, hanem konkrét személyre vonatkozó adatok találhatók, és e személyeknek e három jellemzője az adatbázisban szerepel, akkor, amennyiben e három adatot az adatbázishoz hozzáférő személy bárkiről ismeri, és e személy benne van az adatbázisban, 78,4% eséllyel azonosítani tudja. Márpedig a "születési dátum-irányítószám-nem adathármast" sokan sokakról ismerhetik: nyilvános önéletrajzokból és vagyonnyilatkozatokból,[4] a személyes ismerősök adatai alapján vagy a távolabbi ismerősök közösségimédia-profiljából, de például egy szervezetnél ezek rendelkezésre állnak munkavállalói adatként is.
Egy másik ismert esetben a Netflix - ekkor még videókölcsönző hálózatként - hozott nyilvánosságra egy anonimnak tekintett adatbázist, amiben félmillió felhasználó filmértékelése és az értékelés időpontja szerepelt. Narayanan és Shmatikov szerzőpáros rámu-
- 24/25 -
tatott, hogy néhány máshonnan eredő, filmértékelésre vonatkozó információ alapján (pl. az IMDb filmek értékelését tartalmazó nyilvánosan elérhető weboldalról) azt jó eséllyel össze fogja tudni kapcsolni a Netflix adatbázisban szereplő adatokkal, és az érintett személy további értékeléseit is megismerheti.[5]
Végül említhetünk egy közelmúltbéli magyar példát is: a koronavírus idején Magyarországon nyilvánosan közzétették az elhunytak sorszámát, nemét, életkorát és alapbetegségét. Az egyik ilyen rekord egy 37 éves férfiról szólt, akinek az egyik alapbetegsége egyértelműen alkoholizmusra utalt. Ezzel egyidejűleg a sajtó beszámolt arról, hogy "budapesti brit nagykövet-helyettes az egyik áldozata a koronavírus járványnak Magyarországon. Ő a tizedik, aki a koronavírus miatt hunyt el hazánkban. A mindössze 37 éves férfi kedden halt meg".[6] Így egyértelműen nyilvánosságra került egy elhunyt személy alkoholizmusára, azaz káros szenvedélyére is utaló, társadalmi megítélés szempontjából is különösen érzékeny egészségügyi adata.
Mindegyik esetben közös, hogy az anonimnak tekintett adatbázisokban olyan adatok szerepeltek, amik közvetlenül ugyan nem alkalmasak az érintettek azonosítására, de, összekapcsolva azokat valamilyen "háttértudásként" ismert adatkörrel, lehetővé tehetik egyes érintettek azonosítását és/vagy egy adott személlyel kapcsolatban további adatok megismerését.[7] Ennek különösen kitettek a kiugró, ritka, vagy különleges értékkel rendelkező érintettek. Egy szemléletes példát idézve azt mondhatjuk, hogy a budapesti agglomeráció egyik kis településén élő operaénekesnőről közölt adatok név nélkül is egyértelmű felfedést jelenthetnek.[8]
Az újraazonosításra nem tekinthetünk valamiféle alkalmi véletlenként. Az erre szolgáló technológiák is folyamatos fejlődésen mennek keresztül, ideértve a gépi tanulásos módszerek alkalmazását is.[9] Ezeket nem csupán táblázatos adatbázisok, hanem közösségi hálózatokból származó adatok vagy például kikockázott arcképek újraazonosítására is alkalmazhatják.[10]
E technológiákat használhatják arra is, hogy egy adott adatbázis megfelelő anonimizálását teszteljék illetve az anonimizálási módszereket továbbfejlesszék,[11] de a technológia természetesen ugyanígy alkalmas lehet jogszerűtlen újraazonosításra is. Van, aki úgy véli, hogy e technológiák előnye elvitathatatlan: a "trendből kitűnik, hogy - a privátszféra helyzetét tekintve - már most is jelentős fölénnyel bíró deanonimizáló támadások további, talán a felhasználói oldalon már egyáltalán nem ellensúlyozható előnyre tehetnek szert a gépi tanulási technikák alkalmazásával."[12] Egy 2019-es, sajtóvisszhangot[13] is kapott tanulmány szintén arra jutott, hogy a teljes anonimizálás sok esetben lehetetlen, és még a kellően hiányos adatbázisokban is nagy eséllyel lehetséges az újraazonosítás, ha az elegendő demográfiai adatot tartalmaz.[14]
Emellett általánosságban is könnyen belátható, hogy az egyre növekvő számú adathalmazoknak köszönhetően egyre könnyebben hozzáférhetőek olyan háttértudásként funkcionáló további információk, amelyek az újra-
- 25/26 -
azonosítást nem várt módon lehetővé tehetik.
Jelen tanulmány célja, hogy az anonimizálás jogi megítélésével, a személyes adat, álnevesített adat és anonimizált adat fogalmak definiálásával, egymástól való elhatárolásával és egy anonimizálással kapcsolatos szempontrendszer összefoglalásával segítséget nyújtson az adatkezelőknek annak eldöntésében, hogy mely adattípus kezelését valósítja meg.
A kérdés tétje jelentős, és az utóbbi időben egyre inkább nőni látszik: mivel az európai adatvédelmi jog alapját jelentő általános adatvédelmi rendeletet (GDPR-t)[15] az anonim (nem személyes) adatokra nem kell alkalmazni,[16] igen fontos kérdés, hogy meg kell-e felelni az adatvédelmi jogi szabályozásnak egy adott adat vagy adathalmaz tekintetében. Az adatvédelmi jogi megfelelés önmagában jelentős figyelmet és erőforrást igényel egy szervezet részéről.
Ezen felül azonban a Big Data korában igen nagy jelentősége van az adatok hasznosításában rejlő potenciál kiaknázásának, az adatalapú gazdaság megteremtésének és az adatokon alapuló mesterségesintelligencia-szolgáltatások fejlesztésének is. Ezek szerepelnek mind az Európai Unió, mind Magyarország stratégiai céljai között. Az EU jelenlegi törekvései egyértelműen azon alapulnak, hogy "Európa jelenlegi és jövőbeli fenntartható gazdasági növekedése és társadalmi jóléte egyre inkább az adatokból származó értékteremtésre épül",[17] de a magyar politikában is központi szerep jut az adatalapú világnak: cél ugyanis az adatgazdaság beindítása, aminek keretében tudatossá és szabályozottá kívánják tenni az adatok gyűjtését és másodlagos felhasználását, az adatvagyonnal való gazdálkodást, mind a magán, mind az állami szektorban.[18]
E stratégiai célok megvalósítása érdekében az Európai Unió is egyre összetettebb szabályrendszert alkot az adatok (személyes adatok, üzleti titok) védelme mellett az adatok hasznosítását is támogatva. Az egyes jogi eszközök alkalmazása (tárgyi hatálya) kapcsán azonban kulcskérdés, hogy az adat személyes adatnak vagy nem személyes adatnak minősül.
Az egyik oldalon tehát felmerül, hogy az adat személyes adat jellegére tekintettel - adott esetben meglehetősen költséges módon - megfelelő védelemben kell részesíteni, míg másfelől, ha sikerül az adatokat jogszerűen anonimizálni, azokban jelentős hasznosítási potenciál rejlik.
Azt ugyanakkor látni kell, hogy az anonimizálás során a kiindulópont minden esetben a személyes adat fogalma, azaz az anonimizált[19] adatot ehhez képest, negatív megközelítéssel lehet meghatározni.[20] A kiindulópontnál -és, amint majd e tanulmányból az anonimitás ún. dinamikus megközelítéséből látni fogjuk, valójában később se - lehet tehát elhagyni az adatvédelem területét, mert az anonimitás megállapítása során az adatvédelmi jog rendelkezéseit kell figyelembe venni.
Az anonimizálás kérdéskörének megértéséhez tehát mindenekelőtt át kell tekinteni az EU általános adatvé-
- 26/27 -
delmi rendeletének személyes adatra vonatkozó definícióját és annak értelmezését.
A GDPR 4. cikk. 1. pontja alapján "személyes adat" az azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
A személyes adat fogalmának tehát négy fogalmi eleme van: (1) azonosított vagy azonosítható (2) természetes személyre (3) vonatkozó (4) bármely információ. Az anonimitás szempontjából leginkább meghatározó kérdés az azonosíthatóság, azonban annak részletes elemzését megelőzően szükségesnek látszik a többi fogalmi elem rövid, leíró jellegű bemutatása, amelyet - az amúgy igen gazdag jogirodalom mellett - az ún. 29-es adatvédelmi munkacsoport vonatkozó véleménye[21] alapján teszünk meg.
Személyes adatnak csak az élő természetes személyre vonatkozó adatok minősülnek. Az elhunyt személyekre vonatkozó adatok főszabály szerint nem tartoznak a személyes adat és az általános adatvédelmi rendelet hatálya alá, és a rendelet a tagállamokat jogosítja fel arra, hogy az elhunyt személyek személyes adatainak kezelését szabályozzák.[22]
A fogalomból emellett az is következik, hogy jogi személyre vonatkozó adatok nem minősülnek személyes adatnak. Előfordulhatnak azonban olyan esetek, amikor az adat amellett, hogy jogi személyre vonatkozik, természetes személyre vonatkozónak is kell tekinteni (például a jogi személy neve természetes személy nevéből származik, személynevet tartalmazó vállalati e-mail cím), vagy például egyéni vállalkozók gazdasági tevékenységével összefüggő adatai személyes adatnak is minősülnek, igaz, a vonatkozó törvény[23] rendelkezése folytán bárki által megismerhetőek.[24]
A definíció következő vizsgálandó eleme a "vonatkozó" jelleg, ami az egyén és az információ közti kapcsolatot jelenti, azaz akkor áll fenn, ha az információ az egyénről szól.[25] Ehhez vagy a "tartalom" elemnek, vagy a "cél" elemnek, vagy az "eredmény" elemnek kell teljesülnie. A tartalom elem akkor teljesül, ha az információt az adott személyről adják, a cél elem akkor, ha az információt azért használják fel, hogy az egyént értékeljék, befolyásolják, az eredmény pedig akkor, ha az információ felhasználása valószínűleg hatással van egy adott személy jogaira. E feltételek vagylagosak, azaz már az egyik körülmény fennállása is megalapozza a "vonatkozó" tartalmi elem fennállását.[26]
- 27/28 -
A "bármely információ" fogalom tágan értelmezendő, sem az információ tartalma, sem az információ természete alapján nem szűkítendő a definíció, és az objektív információk mellett a szubjektív információk (vélemény, értékelés) is beleértendők. Az információnak továbbá nem kell sem igaznak, sem pedig igazoltnak lennie,[27] illetve az információ formája tekintetében sincs megkötés: bármilyen adathordozón is szerepel, személyes adat fogalmába tartozhat.[28]
A személyes adat fogalmának témánk szempontjából legfontosabb eleme az azonosítottság vagy azonosíthatóság. Akkor azonosított egy személy, ha személyek egy csoportján belül elkülönül a csoport valamennyi egyéb tagjától, és akkor azonosítható, ha ennek megtétele - függetlenül attól, hogy tényleges azonosításra sor kerül-e - lehetséges. Az azonosíthatóság lehetséges közvetlen vagy közvetett módon. Annak mértéke azonban, hogy az azonosításhoz milyen azonosítókra vagy más ismérvekre van szükség, az adott helyzet körülményeitől függ (pl.: ugyanazon adat alapján bizonyos körben azonosítható, más körben nem).[29]
Amennyiben egy érintett valamely adat vagy adatok alapján azonosított vagy közvetlenül azonosítható, az anonimitás kérdése fel sem merül. Ugyanakkor az anonim minősítés akkor sem feltétlenül áll fenn, ha a hozzáférhető azonosítók kiterjedése első látásra nem teszi senki számára lehetővé az adott személy kiválasztását, attól még e személy azonosítható lehet, mivel az említett információ más információkkal összekapcsolva (ez utóbbi akár megvan az adatkezelőnél, akár nincs) az egyént másoktól megkülönböztethetővé teheti (közvetett azonosíthatóság).[30] A közvetett azonosíthatóság, vagy másképp: az adat és az érintett közötti kapcsolat helyreállíthatóságával kapcsolatban a jogirodalom két értelmezést ismer, a relatív és az abszolút (objektív) értelmezést.
A relatív értelmezés szerint a minősítést kizárólag az adatkezelő szempontjából kell elvégezni, és csak abban esetben tekintendő az adat személyes adatnak, ha az adatkezelő maga képes az általa kezelt adatokat az érintetthez kötni.[31] E megközelítés elfogadása a személyes adat szűkebb értelmezéséhez vezet, és szükségszerűen következik belőle, hogy egy adat egyes adatkezelőnél személyes adatnak, míg más adatkezelő vonatkozásában esetleg anonim adatnak minősülhet.
Az abszolút (objektív) értelmezés a személyes adat fogalmát tágabban értelmezni, de a szakirodalomban ezen belül is több megközelítés található. Egy szűkebb értelmezés objektívnek nevezi azt a megközelítést, amely szerint nem számít, hogy az adatkezelő egyedül maga vagy csak más adatkezelők birtokában lévő adatokkal tudja az érintettet azonosítani, a személyes adat akkor is személyes adat, ha az azonosításhoz másik adatkezelőnél lévő adatok szükségesek.[32] Ennél továbbmegy az a megközelítés, amely szerint személyes adatnak minősül egy adat, ha
- 28/29 -
az adat és a személy közötti kapcsolat elvileg - akárhogyan is, akárki által is,[33] azaz akár több lépcsőben, több adatkezelő által - de megteremthető. Az árnyalatnyinak tűnő különbség valójában jelentős, és kissé más fókuszpontot választ: az objektív értelmezés első megközelítése csak annyit mond, hogy a személyes adat minőségnek - szemben a relatív megközelítéssel - nem feltétele az, hogy minden adat egy adatkezelőnél álljon rendelkezésre. A második megközelítés azonban az azonosíthatósággal kapcsolatos erőfeszítést is figyelembe veszi, és arra utal, hogy elegendő az azonosíthatóság elvi lehetősége is a személyes adat minőség eléréséhez.[34]
A két elmélet lényegében a lehetséges értelmezési módok szélsőséges eseteit jelentik, a kettő között számtalan megközelítés lehetséges, és a GDPR tulajdonképpen éppen egy "köztes" értelmezést követ, ami széles teret enged adatkezelő mérlegelésének, de emellett jelentős felelősséget is telepít rá. A GDPR preambuluma szerint annak meghatározására, hogy egy személy azonosítható-e, "minden olyan módszert figyelembe kell venni [...], amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja".[35] Az egyén kiválasztásának csupán "hipotetikus lehetősége" (azaz elméleti, objektív lehetségessége) nem elég ahhoz, hogy a személyt azonosíthatónak tekintsük, figyelembe kell venni minden olyan módszert, amit az adatkezelő, vagy más személy észszerűen feltételezhetően felhasználna. Ha e lehetőség (módszer) egyáltalán nem létezik, vagy létezik ugyan, de elhanyagolható az alkalmazásának valószínűsége, a személyt nem lehet azonosíthatónak tekinteni, és az információ nem számít személyes adatnak.[36]
Az azonosítás módszerei kapcsán "az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését."[37] Ezt a szempontrendszert a 29-es munkacsoport továbbiakkal egészíti ki, eszerint figyelembe kell venni a "szándékolt célt, a feldolgozás módjának strukturáltságát, az adatkezelő által várt előnyt, az egyének szóban forgó érdekeit, a szervezés működési zavarainak kockázatát (pl. a titoktartási kötelezettségek megsértése), valamint a műszaki meghibásodásokat,"[38] illetve azt, hogy nyilvános adatbázisokkal, valamint az adatkezelő vagy harmadik személy rendelkezésére álló más adatbázisokkal összekapcsolva az adott adat az érintett azonosítására alkalmassá válik-e.
A GDPR preambuluma ugyan objektív tényezőket sorol fel, de az "ésszerűen feltételezhetőség" értelmezése kapcsán szólni kell az anonimizált adatbázis felhasználásának szándékolt céljáról is. A 29-es munkacsoport véleménye ezt elsősorban abban az összefüggésben teszi meg, hogy kimondja, hogy ha az adatkezelés célja magában hordozza az egyének azonosítását, feltételezni lehet, hogy az adatkezelőnek vagy bármely más, beavatott személynek megvannak vagy meglesznek azok a módszerei, amelyeket "valószínűleg felhasznál" majd az érintett azonosítására, akkor is, ha az adott pillanatban nem rendelkezik az azonosításhoz
- 29/30 -
szükséges adatokkal (így például a videokamerás megfigyelés is személyes adat kezelésének minősül, annak ellenére, hogy csak kis számú esetben azonosítja az adatkezelő ténylegesen az érintettet, de a megfigyelés célja minden esetben a potenciális azonosítás).[39] Érdekes kérdés, ha fordított a helyzet: az adatkezelőnek technikailag meglenne a lehetősége, de nem áll szándékában az azonosítás. Álláspontunk szerint ezt a helyzetet is az előzőhöz hasonlóan kell megítélni, azzal, hogy természetesen nem kizárólag az adatkezelő ezzel kapcsolatos szándéka számít, hanem az, hogy az ügy összes körülménye alapján észszerűen feltételezhető-e, hogy az adatokat az érintett azonosítására fogja használni. A munkacsoport említett véleménye szerint, ha az azonosítás nem szerepel a feldolgozás céljai között, az azonosítás megakadályozását célzó technikai intézkedések játszanak jelentős szerepet. Az adatok azonosítás elleni védelme céljából alkalmazott technikai és szervezési intézkedésekkel elérhető, hogy a személyeket ne lehessen azonosíthatónak tekinteni.[40] Így az adatkezelő valamely joghatást kiváltására alkalmas nyilatkozatának (szerződés vagy titoktartási illetve újraazonosítást kizáró nyilatkozat) szervezési intézkedésként lehet szerepe az anonimitás megítélése szempontjából, ami tulajdonképpen az adatkezelő szándékának, mint szubjektív tényezőnek egyfajta objektív, tárgyiasult leképezését (vállalását) jelenti.
Érdemes felidézni az Európai Unió Bíróságának vonatkozó esetjogának legfontosabb ítéletét is. Az ún. Breyer-ügy első ránézésre az abszolút értelmezést megerősítő döntésnek tűnik: eszerint a dinamikus IP cím személyes adatnak minősül akkor is, ha a tartalomszolgáltató önmagában nem, csak az internetszolgáltatónál meglévő adatállományokkal együtt képes a felhasználót azonosítani.[41] A Breyer-ügyben a bíróság azonban ezt a következtetést azt követően vonja le, hogy érdemben, és az adatkezelő szemszögéből vizsgálja, hogy a tartalomszolgáltató az IP címet valószínűleg felhasználná-e az érintett azonosítására, és arra jut, hogy a válasz igenlő: "vannak jogi eszközök, amelyek lehetővé teszik az elektronikus médiaszolgáltató számára, hogy különösen kibertámadások esetében a hatáskörrel bíró hatósághoz forduljon, annak érdekében, hogy megtegye a szükséges lépéseket ezen adatoknak az internet-hozzáférést nyújtó szolgáltatótól történő megszerzése és a bűnvádi eljárások megindítása érdekében." Így vonja le a Bíróság azt a feltételhez kötött következtetést, hogy a "szolgáltató által rögzített dinamikus IP-cím az említett szolgáltató tekintetében az e rendelkezés szerinti személyes adatnak minősül, amennyiben jogszerű eszközök állnak a rendelkezésére az érintett személynek az e személy internet-hozzáférést nyújtó szolgáltatójának rendelkezésére álló további adatok révén történő azonosításához."[42] Az érvelés itt lényegében hasonló, mint amit a 29-es munkacsoport is említ: valamely, közvetett azonosítást lehetővé tevő adat (videókamerás felvétel, dinamikus IP cím), épp azért minősül személyes adatnak, mert a gyűjtés (legalább egyik) célja az, hogy bizonyos körülmények esetén ezek segítségével megkíséreljék az érintett azonosítását.
- 30/31 -
A Breyer-ügy az "észszerűen feltételezhető" kritériumhoz egy fontos értelmezési segítséget nyújt: álláspontja szerint ez nem állna fenn, ha "az érintett személy azonosítását törvény tiltaná meg, vagy a gyakorlatban nem lenne megvalósítható, például azon egyszerű ok miatt, hogy például aránytalan idő-, költség- vagy munkaráfordítás lenne hozzá szükséges, ily módon valójában jelentéktelennek tűnik az azonosítás veszélye."[43] A jogellenes hozzáférés tehát egy olyan szempont, amely az "észszerűen feltételezhetőséget" - legalábbis e konkrét ügyben - lényegében kizárja.
Magyar szempontból elmondható, hogy - korábban - az adatvédelmi biztos, majd a NAIH joggyakorlata is - kisebb kilengésekkel - inkább az abszolút értelmezés irányába mutatott, de egyes bírósági döntésekben a relatív értelmezés irányába tett érvelést is láthattunk.[44] Mivel e joggyakorlatot természetesen az akkor hatályos magyar adatvédelmi törvények alapján alakították ki a jogalkalmazó szervek, e helyütt csak egy, a GDPR hatálybalépését követő NAIH közleményre térünk ki.
E közleményben a NAIH egy gyermektáborokban történő, a gyermekek kifejezetten érzékeny életkörülményeit érintő, anonimnak szánt kérdőíves felmérésről mondott véleményt. Ebben -az álnevesítés és az anonimitás közötti különbségre való felhívás mellett - a NAIH kifejti, hogy az "az anonim kérdőíves felmérés szervezési intézkedésekkel garantálható lehet, például oly módon, hogy ha a kérdőívek kitöltetése kapcsán közreműködő, azt felügyelő személyek köre elkülönül a kérdőívek feldolgozását, kiértékelését végző személyi körtől, valamint ha a táborba jelentkezők jelentkezési lapját, az azokban tárolt adatokat a kérdőívek kiértékelését, az abban foglalt adatok rögzítését végzők nem jogosultak megismerni."[45] További garancia a kérdőívek gyűjtőládában történő gyűjtése, illetve az, hogy a gyermekek körülményeit ismerő személyek a kérdőív eredményébe ne tekinthessenek be. A kérdőívek begyűjtését, tárolását, a hozzáférésre jogosultak körét megfelelő eljárásrendben kell rögzíteni. A közlemény rögzíti, hogy "[a]mennyiben a kérdőívek kiosztásában, összegyűjtésében és feldolgozásában, kiértékelésében részt vevő személyek sem tudják az érintetthez rendelni a kérdőívet, tehát az alkalmazott eljárásrend teljes mértékben megszakít minden kapcsolatot az érintettel, és a kérdőívek pusztán statisztikai adatként használhatók fel, valamint a továbbra is rendelkezésre álló adatok összessége segítségével sem lehet a konkrét személyhez kapcsolni a kérdőívet és annak tartalmát, a keletkező adat anonim adatnak tekinthető."[46] Meg kell jegyezni, hogy ezen intézkedések alkalmazása nem objektív értelemben teszi lehetetlenné a kérdőív eredményének az érintett személyhez kapcsolását, hanem - hozzáférési jogosultságok megállapításával - azt biztosítja, hogy a kérdőív tartalma és az esetlegesen azonosítást lehetővé tevő "kiegészítő információ" (jelentkezési lap, életkörülmények ismerete) ne kerülhessen egy kézbe. Emellett a konklúzió is végső soron az adatkezelő (nevében eljáró személyek) szempontjából (kérdőívek kiosztásában, összegyűjtésében és feldolgozásában, kiértékelésében részt vevő személyek) vizsgálja az anonimitást.
- 31/32 -
Az európai adatvédelmi jogban az anonimitás megállapításához a személyes adat fogalmából kell kiindulni, és gyakorlati nehézséget elsősorban a közvetett azonosíthatóság értelmezése vet fel. A közvetett azonosíthatóság akkor is fennáll, ha az adatkezelő maga ugyan nem képes az azonosításra, de az más adatkezelőnél kezelt adatok segítségével lehetséges. A "lehetségesség" azonban nem egy elvi, teoretikus kritérium, önmagában a hipotetikus lehetőség nem elegendő a közvetett azonosíthatóság, és így a személyes adat minőség megállapításához, a GDPR preambuluma ugyanis ezt az "ésszerű feltételezhetőség" mércéjéhez köti. Ezt nem csak az adatkezelő, hanem más személy szempontjából is vizsgálni kell, és ennek a különböző szereplőknél más-más kimenete lehet. Így adott esetben előfordulhat, hogy ugyanazon adatbázis valamely adatkezelő szempontjából személyes adat, míg más szereplő vonatkozásában nem az. Ebből következően álláspontunk szerint más lehet a jogi megítélése egy anonim(nak tekintett) adatbázis meghatározott személy számára történő átadása és a nyilvánosságra hozatala között. Az "észszerűen feltételezhető" kritérium értékelése során bizonyos objektív tényezők (mint az azonosítás költsége, időigénye és a rendelkezésre álló technológia) mellett - többek között - az adatkezelő szándékait és az azonosíthatósághoz szükséges adatok összekapcsolásának jogszerűségét is figyelembe kell venni. Az anonimitás biztosítása adott esetben technikai és szervezési intézkedésekkel biztosítható, tulajdonképpen úgy, hogy azok következtében az "észszerűen feltételezhetőség" kritériuma már nem áll fenn.
A fogalmi rezsim teljességéhez és a tanulmány egyes következtetéseinek alátámasztásához szükséges egy másik fogalom, az álnevesítés (pszeudonimizálás) definícióját is tisztázni. Az álnevesítést a szakirodalom régóta használja, adatvédelmi jogi fogalomként azonban csak a GDPR intézményesítette. Az álnevesítés a GDPR fogalommeghatározása alapján "a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni".[47] Meg kell jegyezni, hogy a GDPR az álnevesítést adatkezelési módként, illetve adatbiztonsági intézkedésként határozza meg, nem az adattípust definiálja, azaz nem különböztet meg háromféle adattípust. Ezzel megfelel annak a korábban kialakított szemléletnek, amely alapján az álnevesítést az anonimizálási technikákról szóló 29-es adatvédelmi munkacsoporti vélemény[48] sem anonimizálási módszernek, hanem adatbiztonsági intézkedésnek tartja.[49] Ezzel együtt meg kell jegyezni,
- 32/33 -
hogy a tényleges módszerek tekintetében mégiscsak nagy az átfedés, és a különbséget valójában az "eredmény" jelenti.
Az álnevesített és az anonim adathalmaz elhatárolása kapcsán mind a közvetlen azonosítóadatokra, mind az adatbázis részeként megjelenő, adott esetben ún. kvázi-azonosítóknak minősülő adatokra tekintettel kell lenni.
A közvetlen azonosítók tekintetében az álnevesítés az azonosító adatok meghatározott metódus szerinti, meghatározott értékekre történő kicserélésével valósítható meg. Ha mindez elektronikus környezetben megy végbe, ennek technikája a gyakorlatban sokszor valamilyen titkosítás, kódolás. Amennyiben az azonosító adatok transzformációja visszafordítható (azaz az eredeti érték a kód vagy "kapcsolótábla" vagy bármely "további információ" segítségével visszaállítható), de az ehhez szükséges adatok külön vannak tárolva, és megfelelő technikai és szervezési intézkedésekkel védve, úgy álnevesített lesz az adathalmaz. Amennyiben a transzformáció visszafordíthatatlan, azaz egyirányú, és az új értékből (kódból) az eredeti érték nem állítható vissza, úgy - ha a kvázi-azonosítókkal sem lehetséges az azonosítás - anonim adathalmaz képezhető.
Az adatbázisban található leíró adatoknál hasonló a logika. Ha azok olyan kvázi-azonosítóként szolgálnak, amelyek további információ felhasználásával az érintett közvetett azonosítását lehetővé teszik (mint ahogy az első fejezetben felsorolt példákban láthattuk), úgy álnevesített adatbázisról van szó, amennyiben ez nem lehetséges, azaz a leíró adatok összességéből közvetve sem fedhető fel az érintett személyazonossága - és a közvetlen azonosítók visszafordíthatatlan transzformációja (például törlése) megtörtént, úgy anonim adatbázisnak tekinthetjük.[50] A fentieket az 1. táblázat foglalja össze
Az eddigiek alapján úgy tűnhet, hogy a "további információk" megléte vagy hiánya az alapvető elhatárolási pont az álnevesített és anonim adatok között, a helyzet azonban ennél árnyaltabb. Először is, ha objektíve nem létezik a közvetett azonosítást lehetővé tevő "további információ" és az nem is előállítható, akkor valóban anonim adatról beszélhetünk. Másodszor, ha létezik a "további információ", de azt nem külön tárolják, illetve annak felhasználását nem védi megfelelő technikai és szervezési intézkedés, akkor nem álnevesített adatról, hanem "rendes" személyes adatról van szó. Harmadszor, álláspontunk szerint az azono-
1. táblázat
| Azonosító adatok visszafordítható átalakítása | Azonosító adatok visszafordíthatatlan átalakítása (törlés) | |
| Leíró adatok (összessége) más adatok felhasználásával alkalmasak közvetett azonosításra (kvázi-azonosítóként funkcionálnak) | ÁLNEVESÍTETT ADATHALMAZ | ÁLNEVESÍTETT ADATHALMAZ |
| Leíró adatok más adatok ("háttértudás") felhasználásával sem alkalmasak közvetett azonosításra | ÁLNEVESÍTETT ADATHALMAZ | ANONIM ADATHALMAZ |
- 33/34 -
síthatóság mércéjét az álnevesítés fogalma nem érinti, azaz azt továbbra is az "ésszerű feltételezhetőség," mércéje szerint kell megítélni, azaz ha van "további információ", de ezzel együtt nem áll fenn az, hogy észszerűen feltételezhető, hogy ezeket az információkat azonosításra használják (akár éppen a szigorú technikai és szervezési intézkedéseknek köszönhetően, vagy azáltal, hogy az álnevesített adatokat egy olyan szervezetnek továbbították, akinél már nem áll fenn az ésszerű feltételezhetőség), az adat anonim adatnak minősül. Ezt az értelmezést támasztja alá egyrészt az a tény, hogy a GDPR nem az álnevesített adatra, mint adattípusra ad definíciót (hanem a folyamatra), másrészt a GDPR 26. preambulumbekezdésének szövegéből és szerkezetéből is ez következik: A kezdőmondatban egyértelmű utalás történik arra, hogy "[a]z adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell." Ezt a tételesjog a személyes adat definíciójával, és a GDPR hatályának személyes adatok alapján történő megállapításával éri el. A bekezdés így folytatódik: "az álnevesített személyes adatokat, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni." A közös elem tehát az azonosíthatóság. És - logikusan - ezt a fordulatot követi közvetlenül az ésszerű feltételezhetőség mércéjét kimondó szövegrész: "Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni - ideértve például a megjelölést -, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja."[51]
A fentiek alapján úgy gondoljuk, hogy a GDPR logikájában az álnevesített adatok sem feltétlenül és minden esetben a személyes adatok kategóriájába tartoznak: elvben az álnevesítés eredményeként - különösen egy másik adatkezelő szemszögéből nézve - anonim adat is előállhat. Ebből kifolyóan szerencsésebb az adatokat két nagy halmazba, a személyes és anonim adatok halmazába sorolni, az álnevesített adatokat pedig e két halmaz részhalmazaként elképzelni, attól függően, hogy az álnevesítési eljárás eredményeképpen "észszerűen feltételezhetően" azonosítható marad-e az érintett vagy sem.[52]
Az anonimizálás és álnevesítés technikáival több nemzetközi dokumentum is foglalkozik. Ezek bemutatásához elsősorban a 29-es munkacsoport anonimizálással kapcsolatos véleményéből[53] valamint az ENISA 2019-ben, éppen a GDPR-ban foglalt követelményekre tekintettel kiadott ajánlásából[54] indulunk ki. Megjegyzendő, hogy az álnevesítés és anonimizálás technikáinak egy része egymástól különböző, egy része azonban lényegében azonos. Utóbbi esetben az érdemi különbség a technikák alkal-
- 34/35 -
mazásának az azonosíthatóságra gyakorolt eredményében mutatkozik meg.
A 29-es adatvédelmi munkacsoport rögzíti, hogy az anonimizálásra használt eljárások és technikák különbözők lehetnek, és folyamatos kutatások tárgyát képezik. Ahhoz, hogy ne személyes adatnak minősíthessünk egy adatot/adathalmazt, az eredménynek az alábbi három kérdés tekintetében nemlegesnek kell lennie:
- kiválasztás: lehetséges-e még kiválasztani egy egyént;
- összekapcsolhatóság: lehetséges-e még az egyénekkel kapcsolatos rekordokat összekapcsolni;
- következtetés: ki lehet-e következtetni az egyénekre vonatkozó információkat.
Ha mindhárom kérdésre nemleges a válasz, az adatok nem személyes adatnak, hanem anonimnak tekinthetőek. Ha az eljárás azonban akár csak egy kritérium kapcsán kétségeket ébreszt, az azonosítási kockázatokat alaposan ki kell elemezni, és adott esetben kockázat mérséklését célzó garanciákat, biztonsági intézkedéseket és mechanizmusokat kell kidolgozni. A munkacsoport e szempontok mentén értékelte az egyes anonimizálási technikákat, rögzítve, hogy önmagában egyik technika sem mentes a hiányosságoktól, egyik sem képes önmagában az anonimitást biztosítani, így kombináltan ajánlott alkalmazni őket. Bármelyik kombinációt is alkalmazza az adatkezelő, az eredményt mindig esetileg kell minősíteni, az összes körülmény figyelembevételével.
Az anonimizálás során a legfontosabb kiindulópont természetesen a közvetlen azonosítást lehetővé tevő adatok vagy bizonyos más értékek (pl. kiugró értékek) törlése, amely azonban - amint korábban rámutattunk - összetett adatbázisoknál önmagában gyakran nem elég a valódi anonimitáshoz. Ezen felül az anonimizálásnak alapvetően két módszere van: az első a véletlenítésen, míg a második az általánosításon alapul.[55]
Az anonimizálás érdekében mindenekelőtt szükség van a közvetlen azonosítást lehetővé tevő természetesen és mesterséges személyazonosító adatok törlésére. A törlésnek véglegesnek (visszafordíthatatlannak) kell lennie, azaz nem csak bizonyos adatok elrejtéséről, hanem azok visszaállíthatatlan törléséről van szó.[56] Az azonosító adatok mellett adott esetben bizonyos más jellemzők törlése is szükséges lehet, ha olyan kiugró értékeket tartalmaznak vagy az adatok olyan kombinációja ismerhető meg, amelyek alapján az érintett közvetetten beazonosíthatóvá válik, és más technikák (pl. általánosítás) nem elegendők ennek kizáráshoz. A törlés technikai megvalósítása többféle lehet, például az adott érték átkonvertálása 0-ává, vagy értelmezhetetlen véletlen értékké, illetve az adatok vagy képi megjelenítésű részek maszkolása, felismerhetetlenné tétele.
- 35/36 -
A véletlenítéshez azok a technikák tartoznak, amelyek "az adatok valóságnak való megfelelését változtatják meg az adat és az egyén közötti szoros kapcsolat eltávolítása érdekében." [57] Ez azon alapul, hogy az adatok megfelelően bizonytalanná tétele esetén azokat többé nem lehet egy meghatározott egyénnel összekapcsolni. Előnye, hogy nem csökkenti az egyes rekordok egyediségét, mert minden rekord továbbra is egyetlen érintettől fog származni, de védelmet nyújthat a következtetési támadások/kockázatok ellen.[58] A véletlenítés technikái a zajhozzáadás, és a csere (permutáció), valamint e körben lehet nevesíteni a differenciális adatvédelem megközelítését is.
A zajhozzáadás lényege, hogy az adatok kevésbé pontossá tételével csökken az azonosíthatóság, például a testmagasság meghatározása az eredeti értékhez képest ±10 cm-es pontossággal, vagy egy konkrét dátum (ami kvázi-azonosító lehet) ±10 napos pontossággal kerül be az anonimizált adat-táblába.[59] A zajhozzáadással az értékek egyedisége és valamelyest az elosztása is megmarad, ugyanakkor az adatok pontossága csökken.
A permutáció (csere) az egyes értékek "összekeveréséből", kicseréléséből áll, oly módon, hogy a pontos érték megmarad, de az jellemzően más rekordba (más érinetthez kapcsolódóan) jelenik meg.[60] Példaként szolgálhat valamilyen dátum vagy az életkor-értékek összekeverése. Ez akkor lehet jó technika, ha az adatok pontosságára szükség van, de az nem fontos, hogy az adott érték eredetileg kihez tartozott, és nem szükséges egy adott érintett más adataival való kapcsolat elemzése sem (mivel ez a kapcsolat elveszik).
A 29-es munkacsoport dokumentuma a véletlenítésről szóló fejezetben nevesíti a differenciális adatvédelmet is, amely sokkal inkább egy megközelítés, mintsem egy konkrét technika, és amelynek lényege, hogy az adatbázis maga változatlan marad, és a magánszféra védelmét a lekérdezések/adattovábbítások során kinyerhető információk korlátozásával vagy módosításával (pl. zaj hozzáadásával) biztosítja. Ennek alkalmazása során fontos kritérium a lekérdezések nyomonkövetése, mivel több különböző szempontú lekérdezéssel adott esetben a védelem kijátszható.[61]
Az általánosítási technikák lényege, hogy az érintettek attribútumait általánosítják vagy felhígítják a vonatkozó skála vagy nagyságrend módosításával. Példaként említhető, ha pontos cím helyett város, pontos dátum helyett év, pontos életkor helyett egy tartomány (25-35 éves) szerepel az adatbázisban. Erre a módszerre feltétlenül szükség van akkor, ha bizonyos konkrét értékek együttese "kvázi-azonosítóként" szolgálna az egyedisége miatt,[62] például a már említett nem - születési dátum - irányítószám adathármas. Természetesen az általánosítás során is csökken az adatok pontossága, de sok esetben ez az elemzés végeredményét nem veszélyezteti. Az általánosítás csoportjába az "összesítés", "k-anonimitás",
- 36/37 -
"l-diverzitás", "t-közelség" technikák tartoznak.
Az összesítés és k-anonimitás lényege, hogy az adatbázis egyes rekordjait összegzett értékekké konvertáljuk (átlagok, tartományok, összegzett értékek segítségével, amelynek célja az érintettek kiválasztásának megakadályozása azáltal, hogy legalább "k" másik egyénnel csoportosítjuk őket. A "k" értéknek az anonimitás érdekében minimum 3-nak kell lennie, máskülönben egy 2-elemű klaszter egyik szereplője (a saját részletes adatainak ismeretében) a másik szereplőről pontos információhoz juthat.[63] A "k" érték meghatározása kellő körültekintést igényel, minél nagyobb ez az érték, annál nagyobb védelmet biztosít.[64]
Az l-diverzitás és t-közelség szorosan összefüggő technika. Mindkettő az előző módszer továbbfejlesztése azáltal, hogy szempontként jelenik meg hogy az összessített adat legalább "l" számú különböző értékből álljon össze. A t-közelség ezt azzal egészíti ki, hogy minden egyes értéknek az eredeti értékek eloszlásának tükrözését lehetővé tevő alkalommal kell szerepelnie.[65]
Amint azt korábban jeleztük, az álnevesítés technikája egyrészt azt biztosítja, hogy az eredeti azonosítókból pszeudóazonosítók jönnek létre (adott esetben egyes azonosítók véglegesen is törölhetők). Azon leíró adatok esetében pedig, amelyek külön-külön vagy együttesen kvázi azonosítóként szolgálhatnak, az anonimizálás különböző technikái alkalmazandók.
Az ENISA álnevesítéssel kapcsolatos ajánlása részletesen bemutatja a pszeudókód létrehozásának főbb eseteit. Ezek az alábbiak:
- Számláló alapú megoldás: Az azonosítók sorban növekvő értékre kerülnek lecserélésre (akár így: 001, 002, stb.).
- Véletlen alapú megoldás: Az azonosítók a sorban növekvő érték helyett egy véletlen értékre kerülnek lecserélésre, egyébiránt a működési mechanizmusa azonos a számláló alapú megoldással.
- Egyszerű hash: Az azonosító kriptográfiai hash algoritmus segítségével jön létre, azaz egyirányú a művelet, visszafelé nem végezhető el, és elhanyagolható az ütközés valószínűsége (a különböző azonosítókból különböző értékek képződnek). Az eredeti érték visszafejtése a tárolt leképezési táblázat segítségével vagy az eredeti adathoz való hozzáféréssel végezhető.
- HMAC:[66] Az egyszerű hash módszer kiegészítése, mely során az eredeti értékhez fűzött titkos kód ("salt") kerül hashelésre. Az eredeti érték visszafejtése a tárolt leképezési táblázat segítségével és a titkos kód együttes ismeretében végezhető el.
- Titkosítás: Szimmetrikus titkosítás, mely során egy titkos kulcs ismeretében, meghatározott titkosító algoritmus segítségével áll elő a pszeudo kód értéke, melyet ugyanazzal a kulccsal lehet visszafejteni.[67]
- 37/38 -
Az anonimitás technikái kapcsán látható, hogy azok sok esetben az adatbázis értékeinek olyan megváltoztatásával járnak együtt, amely hatással lehet az azok használhatóságára. Az alapösszefüggés szerint minél több intézkedést tesz az adatkezelő az anonimizálás érdekében, annál pontatlanabbak lesznek az adatok, illetve annál inkább csorbul a Big Data korában igen fontos lehetőség az egyes jellemzők közötti összefüggések feltárására.[68] Sok esetben az anonimizálás egyfajta kompromisszumkeresés a használhatóság és az újraazonosítás kockázatának elfogadhatóan alacsony szintje között. Ebből az is következik, hogy van, amikor egyszerűen nem lehet úgy anonimizálni az adott adatbázist, hogy az használható maradjon,[69] mert annyi jellemzőt (és ezáltal kvázi-azonosítót) tartalmaz, hogy a rekordok alig hasonlítanak egymásra, és az anonimizálás csak sokféle adat törlésével lenne elérhető.[70] Egészségügyi adatokon történő tudományos kutatás esetén ez például könnyen előfordulhat, és sok esetben nincs más lehetőség, mint annak elfogadása, hogy az érintett adathalmaz legfeljebb álnevesített adatnak tekinthető, és így azokat az adatvédelmi jogi szabályozás teljes alkalmazása mellett kell kezelni.
Az elméleti áttekintés és az anonimizálási technikák ismeretében érdemes áttekinteni az anonimizálással kapcsolatos, szakirodalomban fellelhető megközelítéseket, valamint a - kifejezetten a gyakorlati alkalmazásra szánt - útmutatókat és teszteket. Ezek közül is kiemelünk egy, általunk nagyon hasznosnak talált mércét, az ún. "motivált alkalmatlankodó" tesztjét, majd ezt követően egy saját gyakorlati szempontrendszert fogalmazunk meg.
Az anonimizálásról alkotott koncepciókkal kapcsolatban eredendően két megközelítést különböztetünk meg: egyrészt a statikus, másrészt a dinamikus megközelítést.
A statikus megközelítés jegyében nagyon sokáig az az elv uralkodott, hogy ha egy adatbázisból eltávolítják az azonosító adatokat, illetve előre meghatározott műveleteket (például általánosításokat) végeznek el az adatbázison, akkor az érintett magánszférájának megfelelő védelme biztosított.[71] Ezt követően a "release-and-forget" modell jegyében az adatbázisokat átadták vagy nyilvánosságra hozták, anélkül, hogy azzal kapcsolatban később bármilyen utánkövetést vagy kontrollt gyakoroltak volna.[72] Ez a megközelítés tehát abból indul ki, hogy anonimizálást követően sem a korábbi adatkezelőt, sem azt a személyt, akihez az ano-
- 38/39 -
nimnak gondolt adatbázist továbbítják, nem terhelik adatvédelmi kötelezettségek, hiszen az adatbázis az anonimizálással véglegesen kikerült az adatvédelmi szabályrendszer hatálya alól.
Az első fejezetben bemutatott problémák alapján egyetértünk Ohm gondolataival, miszerint a gyakorlat ezt a felfogást meghaladta, és utat kell engedni új megközelítéseknek.[73] A statikus megközelítés tarthatatlanságának a gyakorlati tapasztalatok mellett - jogászként - a legkézzelfoghatóbb oka, hogy a GDPR is egyértelműen a dinamikus megközelítés mellett teszi le a voksát, részben azáltal, hogy egy kontextustól függő, egyedi mérlegelést igénylő körülménytől, az "ésszerű feltételezhetőségtől" teszi függővé a közvetett azonosítás értelmezését, másrészt azáltal, hogy az azonosítás módszerei kapcsán az "adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését."[74] is figyelembe kell venni. A 29-es adatvédelmi munkacsoport egyértelművé teszi, hogy "itt egy dinamikus próbáról van szó, és tekintetbe kell venni a feldolgozás idején hozzáférhető csúcstechnológiát, valamint a fejlesztés lehetőségeit is azon időszak tekintetében, amelyre vonatkozóan az adatokat feldolgozzák." Lehetséges tehát, hogy a mai technológiai tudásunk alapján nem áll fenn az "ésszerű feltételezhetőség", de ha például az adatokat 10. évig kívánják megtartani, akkor figyelembe kell venni, hogy az újraazonosítás a tárolás 9. évében is megtörténhet. Az anonimizálás során ezt a kockázatot kezelni kell tudni.[75]
A dinamikus megközelítés tehát nem hagyja figyelmen kívül, hogy az anonimnak gondolt adatbázisban lévő adatok újraazonosíthatóságának kockázata jelentősen függ attól, hogy milyen további célokra kívánják használni, milyen további adatbázisokkal kapcsolják össze,[76] valamint attól is, hogy miképpen változik a technológia (és ez egyébként milyen hatással van például az adott technológia költségére). Ebből következően ez a megközelítés az anonimnak tartott adatbázist felhasználó személytől is megkövetel bizonyos felelősséget, illetve felhasználási feltételeknek való megfelelést, akár bizonyos fokú ellenőrzési hatáskört az eredeti adatkezelő részéről.[77] Ez a jövőbe tekintő értékelés azonban - amint arra egyes szerzők felhívják a figyelmet - a gyakorlatban nagyon nehezen kivitelezhető.[78]
A vonatkozó szakirodalom a dinamikus megközelítésen belül is megkülönböztet (1) károkozásalapú, (2) kockázatalapú, illetve (3) eljárásalapú koncepciót. A (1) károkozásalapú koncepció a magánszférát érintő (nem megfelelő anonimizálás miatt bekövetkezett újraazonosításból eredő) károkat értékeli. A (2) kockázatalapú koncepció szerint az anonimitás értékelését esetről-esetre kell végezni, melynek kiindulópontja a "output" adathalmaz, azaz az anonimnak tekintett adatbázisban szereplő adatok érintettel való újbóli összekapcsolhatóságának kockázatát értékeli az adott eset valamennyi körülményét figyelembe véve. Az (3) eljárásalapú megközelítés is az újraazonosítás kockázatát igyekszik csökkenteni, azonban ennek a fókuszában az anonimizálási eljárás áll és - szemben a kockázatalapú koncepcióval - magá-
- 39/40 -
tól az eljárásba beépített garanciáktól várja a probléma megoldását. Ebben a koncepcióban a kockázatalapú koncepció néhány eleme is fellelhető, például kockázatelemzést kell végezni adattovábbítás előtt.[79] Természetesen e koncepciók együttes alkalmazása is lehetséges,[80] és álláspontunk szerint is ez a leginkább célravezető: a kockázatalapú megközelítés természetszerűleg figyelembe veszi az újraazonosításból eredő károkat (azok súlyosságát és valószínűségét), egy megfelelő eljárásrend pedig, ha önmagában nem is nyújt garanciát a sikeres anonimizálásra, olyan technikai-szervezési intézkedésként értelmezhető, amely praktikusan segíti az anonimitás elérését.
A dinamikus értelmezésbe jól beilleszthető Mourby és szerzőtársainak megközelítése, akik az adatkörnyezet (data environment) fontosságát hangsúlyozzák. Ennek köszönhetően a fókusz az önmagában szemlélt adatról az adat és a környezete közötti kapcsolatra helyeződik át. Az adatkörnyezet vizsgálata során négy szempontot azonosítottak:
1) az adatkörnyezetben létező más adatok szerepét, amik az újraazonosítás kockázatának értékelésekor kulcsfontosságúak;
2) az adatkörnyezetben résztvevő kulcsszereplőket, illetve azt, hogy ők várhatóan miképp járnak el a kockázatok növelése vagy csökkentése érdekében;
3) azt az irányítási folyamatot, amelyben rögzítésre kerül az adatok kezelésének, az azokhoz való hozzáférésnek a rendje (kik, mikor, milyen célból);
4) az infrastruktúrát, ami szintén érdemben befolyásolja az adat és a környezete közötti kölcsönhatást, és amely az operatív és menedzsment struktúrából, annak szoftver és hardver elemeiből áll.
A szerzők szerint az anonimitás értékelése gyakorlatilag annak értékelését jelenti, hogy az érintett azonosítható-e az adott adatkörnyezetben, figyelembe véve a GDPR "ésszerűen feltételezhető" mércéjét.[81]
Az eddigiek alapján azt láthattuk, hogy a szakirodalomban uralkodó értelmezés alapján a GDPR a személyes adat fogalmának meghatározása során végső soron dinamikus, kockázatalapú, és kontextusfüggő megközelítést alkalmaz. Azt ugyanakkor többen is felvetik, hogy a 29-es munkacsoport anonimizálási technikákról szóló véleményéből egy nagyon szűkítő, ezzel majdhogynem ellentétes "zero-risk" megközelítés is kiolvasható.[82] Amint azt e források is bemutatják, kétségtelen, hogy a munkacsoport szövegezése sok helyütt ellentmondásos: egyrészt utal az "ésszerűen feltételezhető" mércére, a kontextuális elemek fontosságára, és kockázati tényezőkre, ugyanakkor szinte ugyanazon bekezdésekben az azonosítás "visszafordíthatatlan módon történő megakadályozásáról" is szól,[83] valamint arról, hogy a anonimizálás "eredményének annyira tartósnak kell lennie, mint a törlésnek, vagyis lehetetlenné kell tennie a személyesadat-feldolgozást," sőt, kimondja, hogy ha az adatkezelő nem törli az eredeti (azonosítható)
- 40/41 -
adatokat eseményszinten, és ezek egy részét átadja, akkor az így kapott adatbázis még mindig személyes adatnak számít.[84] Az egyik forrás szerint az ellentmondás leginkább a dokumentum egy pontján használt "valószínűleg lehetetlen" (reasonably impossible)" szóösszetételben nyilvánul meg a legvilágosabban.[85]
A munkacsoport határozott szóhasználata érthető ugyan abból a szempontból, hogy a gyakorlatban sok tévhit és rossz gyakorlat övezi az ano-nimizálást, különösen a pszeudonimizálás és az anonimizálás összemosása tekintetében, ugyanakkor a "visszafordíthatatlanság" és a "lehetetlenség" kifejezéseket mégsem lehet objektívnek tekinteni. Ez nemcsak a GDPR normaszövegét közvetlenül értelmező preambulumban foglaltakkal nem fér össze, de ellentétes a munkacsoport korábbi véleményével is ("az egyén kiválasztásának csupán hipotetikus lehetősége nem elég ahhoz, hogy a személyt »azonosíthatónak« tekintsük"),[86] és lényegében egy olyan anonimizálási mércét szabna, amellyel kapcsolatban a mértékadó szakirodalmi források megállapították, hogy elérhetetlen. Álláspontunk szerint mégiscsak a kissé furcsán hangzó "valószínűleg lehetetlen" megfogalmazásból kell kiindulni, és a véleményben foglalt kifejezéseket úgy érteni, miszerint az azonosítás az észszerűen feltételezhető módszerek alkalmazásával "visszafordíthatatlan" és "lehetetlen."
A fentiek alapján talán nem meglepő, hogy nincs könnyű helyzetben az a szervezet (és azon belül az a szakember), aki a gyakorlatban szeretné egy anonimizálási folyamat jogszerűségét felügyelni. Erre tekintettel számos konkrét útmutató és teszt igyekszik segíteni az adatkezelőket. Néhányat említve kiemelhetjük az Egyesült Államokban az egészségügyi adatok anonimizálására szolgáló ún. "HIPAA Privacy Rule"-t,[87] vagy a szingapúri Adatvédelmi Bizottság 2018-ban kiadott útmutatóját.[88]
Ugyanakkor éppen a lehetséges kontextusok sokfélesége és a szabályozás rugalmassága miatt nincs minden esetre hibátlanul alkalmazható módszertan. Álláspontunk szerint a gyakorlatban az egyik leghasználhatóbb megközelítés az angol információs biztos (ICO)[89] által megfogalmazott ún. "motivált alkalmatlankodó teszt",[90] ami jelentős praktikus segítséget nyújthat az újraazonosítás kockázatának értékelésében. A teszt az ún. "motivált alkalmatlankodóból" indul ki, akit olyan speciális ismeretekkel nem rendelkező személynek tekint, aki az anonimizáltnak tekintett adatok felhasználásával az egyént - kellő elszántsággal,[91] de nem mindenáron - azonosítani kívánja. A teszt célja annak a megítélése (lényegében kockázatértékelés keretében), hogy ez eredményes lesz-e vagy sem.
E megközelítés abból indul ki, hogy ez a személy ésszerű kompetenciákkal, illetve hozzáféréssel rendelkezik
- 41/42 -
különösen olyan forrásokhoz, mint interneten vagy könyvtárban elérhető források vagy nyilvános elérhető más források,[92] de nem folyamodik olyan eszközökhöz, mint egy hackertámadás, vagy bűncselekmény elkövetése a személyes adatokhoz való hozzáférés céljából. A gyakorlatban a motivált alkalmatlankodó például internetes keresést végez arra vonatkozóan, hogy a születési idő és irányítószám kombinációval azonosítható-e az érintett, a helyi vagy nemzeti sajtóban rákeresés arra, hogy az áldozat azonosítható-e bűncselekményekről szóló térkép alapján, a közösségi médián rákeres arra, hogy felhasználói profilon szerepel-e az anonimizált adat, vagy a választási nyilvántartás és a helyi könyvtári források felhasználásával megkísérli az anonimizált adatok valamely érintetthez való hozzárendelését. Amennyiben ez a hipotetikus személy sikerrel jár, az adatot/adathalmazt személyes adatnak kell tekinteni, amennyiben a "motivált alkalmatlankodó" tevékenysége nem jár eredménnyel, úgy anonimnak lehet tekinteni.[93]
Emellett egy, a Pécsi Tudományegyetemen létrejövő álnevesített kutatási célú egészségügyi adattárház létrehozása[94] során magunk is összegyűjtöttünk néhány praktikus szempontot arra, hogy az anonimizálás megállapítása során mely tényezőket kell figyelembe venni. Mindenekelőtt szükséges az anonimnak tekintett adatbázis átadása vagy nyilvánosságra hozatala során figyelembe venni az alábbi tényezőket:
- Milyen személyek és szervezetek férnek hozzá az anonimnak tekintett adatokhoz?
- A hozzáféréssel rendelkezőknek milyen tényleges hozzáférési lehetőségeik vannak olyan más adatbázisokhoz, amelyeknél felmerülhet, hogy az egyén azonosítására alkalmas adatokat tartalmaznak? (Ideértve a nyilvános és az adott adatkezelő által hozzáférhető adatokat is).
- Ezen más adatbázisok és a hozzáféréssel érintett anonimnak tekintett adatbázisok adattartalma milyen viszonyban van egymással?
- Az anonimnak tekintett adatbázishoz az egyes személyek vagy szervezetek milyen módon férnek hozzá? Csak betekintésre van lehetőségük, vagy az adatokról másolatot is készíthetnek? Előbbi esetben milyen intézkedések biztosítják a másolatkészítés kizárását?
- Amennyiben potenciálisan másolatot is készíthet, a hozzáférő személy vagy szervezet milyen szervezési és technikai intézkedéseket alkalmaz az adatok védelme érdekében, ideértve a szervezeten belüli és kívüli újraazonosítással szembeni védelmet is.
- Ki és milyen eszközzel végzi az anonimizálást: milyen működési mechanizmuson, milyen anonimizálási technikákon alapul. Amennyiben valamilyen egyedi azonosító továbbra is haszná-
- 42/43 -
latos, ezen egyedi azonosítóból lehetséges-e személyazonosító adat visszaállítása?
- Az alkalmazott eljárás objektíve meggátolja-e az egyén kiválaszthatóságát, adatai összekapcsolhatóságát, kikövetkeztetését? Ha nem, akkor milyen eszközökkel korlátozzák ezek előfordulását?
Emellett meg kell vizsgálni valamennyi hozzáférő személy és szervezet szempontjából, hogy észszerűen feltételezhető-e az, hogy az adatokat egy adott természetes személy azonosítására fogják felhasználni. Ennek keretében a GDPR és a 29-es adatvédelmi munkacsoport véleménye alapján meg kell vizsgálni különösen:
- az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését;
- a szándékolt célt: milyen célokból kívánják felhasználni az intézmények az anonimnak tekintett adatbázist, van-e olyan (rész)cél, ami megkövetelné az azonosíthatóságot;
- a feldolgozás módjának strukturáltságát;
- az adatkezelő által az (akár jogszerűtlen) azonosítástól várt előnyt;
- az egyének szóban forgó érdekeit (az esetleges újraazonosítás milyen hatással lehet rájuk);
- a szervezet működési zavarainak kockázatát (pl. a titoktartási kötelezettségek megsértése vagy más szabálytalanság kockázata);
- a műszaki meghibásodás, információbiztonsági incidens lehetőségét.[95]
E szempontrendszerből alapvetően két következtetést vonhatunk le. Egyrészt az első csoportban tartozó szempontoknak az érdemi vizsgálata korlátozott, a gyakorlatban sokszor csak a jogszabály által lehetővé tett, vagy egyébként közismert lehetőségekre, illetve az adatátvevő (jog)nyilatkozatára lehet hagyatkozni. A második csoportba tartozó szempontok pedig ugyan részben objektív szempontnak minősülnek az adatvédelmi rendelet szóhasználatában, de az objektivitás nem jelent egzakt mérhetőséget. Valójában az ezen szempontoknak való megfelelés a legnagyobb gondosság esetén is csak kockázatértékelés keretében értékelhető.
Mind a jogi, mind a technológiai megközelítésű forrásokból az látható, hogy - részben az újraazonosítási technológiák fejlődésének, részben az egyre nagyobb számban elérhető adatbázisoknak (mint további információknak) - köszönhetően az újraazonosítás lehetőségét teljes mértékben kizárni, az objektív, elvi azonosíthatatlanságot elérni a legtöbb esetben nem lehetséges, legalábbis úgy biztosan nem, hogy az adatállományok vagy különösen a strukturálatlan adatok hasznosíthatósága megmaradjon. Az újraazonosítási technológiát részletesen elemző egyik forrás maga is a megfelelő jogi védelemben látja a megoldást.[96]
- 43/44 -
A jogi védelem az Európai Unióban régóta fennáll, és álláspontunk szerint kellő rugalmassággal kezeli a kérdést. A GDPR "ésszerűen feltételezhetőség" mércéje az értelmezési bizonytalanságok mellett is alkalmas arra, hogy az anonimizálás kérdését kontextusfüggően, a technológiai mindenkori állására és annak fejlődésére tekintettel kezelje.
A jogirodalomban több helyen is elemzett dinamikus, kockázatalapú megközelítés álláspontunk szerint megfelelő keretet adhat az anonimizálás értékelésének, különösen azért, mert a GDPR-ban nevesített objektív szempontok objektívek ugyan, de a gyakorlatban sokszor nem pontosan mérhetők. Ebben a megközelítésben az anonimizálás tulajdonképpen az újraazonosítás kockázatának kellően alacsony, elfogadható szintjét jelenti. Ennek értékelése ugyan kétségkívül több energiát igényel, mint a régebben jellemző "release-and-forget" megközelítés, de az - Ohm kifejezését használva - valóban csak az védelem ígéretét hordozza, az utóbbi időben jelentősen csökkenő valódi védelmi szint mellett.
Egyetértünk emellett Stalla-Bourdillon és Knight azon következtetésével, hogy a személyes adat - anonim adat - álnevesített adat közötti határvonalak kissé elmosódhatnak, mind időben, mind az adatkezelő személyétől függően, ez azonban nem jelenti azt, hogy a szabályozásnak ne kellene fenntartania ezt a kettősséget.[97] Már csak azért sem, mert e tanulmány során is az izgalmas "határeseteket" vizsgáltuk, de természetesen számos olyan eset lehetséges, amikor az anonimizálás eredménye valóban annyira általános, hogy fel sem merül az újraazonosíthatóság - ezen adatköröket pedig indokolatlan lenne az adatvédelmi jog hatálya alá vonni.
További következtetésünk, hogy a GDPR azon elvi kiindulópontja, miszerint az ésszerű feltételezhetőséget nem csak egy adott adatkezelő, hanem bármely adatkezelő szempontjából el kell végezni, álláspontunk szerint a gyakorlatban azzal jár, hogy jelentősen más lehet a megítélése egy meghatározott szereplőnek átadott anonim adatbázisnak és a nyilvánosságra hozott anonim adatbázisnak. Egy meghatározott adatkezelőre a kockázatelemzés sokkal könnyebben elvégezhető (mint potenciálisan végtelen szereplőre), és számos olyan szervezési-technikai intézkedés tehető, amely érdemben csökkenti a (bárki általi) újraazonosítás kockázatát, mindenekelőtt éppen az adott adathalmaz nyilvánosságra hozatalának tilalmával, valamint megfelelő biztonsági intézkedések megkövetelésével, amely védelmet biztosít a jogosulatlan vagy véletlen hozzáféréssel és nyilvánosságra kerüléssel szemben (és amelynek eredményeként a "más személyek" tekintetében az ésszerű feltételezhetőség így nem áll fenn). Az adatátvevő féllel kötött - akár adatfeldolgozói, akár annak egyes elemeit tartalmazó más, atipikus - szerződés megfelelő tartalmi elemekkel erre álláspontunk szerint alapvetően alkalmas, hiszen az adatvédelmi jog mind az adatfeldolgozás, mind a harmadik országba történő adattovábbítás során elismeri a szerződésben vállalt kötelezettségek "védelmi erejét". Egy szerződés vagy valamely egyoldalú jognyilatkozat (például
- 44/45 -
titoktartási és újraazonosítást kizáró nyilatkozat) nem csak az adatkezelő szándékának objektív, kötelezettségvállalásban megnyilvánuló kifejeződése, hanem adott esetben az újraazonosítást egyértelműen jogellenes magatartássá minősítő dokumentum is, amely - amint azt a Breyer-ítéletből láttuk - az "ésszerű feltételezhetőség" szempontjából is fontos (már-már döntő) momentum.[98] A szerződés megszegése pedig azt eredményezheti, hogy a jogellenes adatkezelésért viselt felelősség végső soron az adatátvevőt fogja terhelni.[99]
Összességében az anonimizálás az adatvédelmi jog talán egyik legizgalmasabb kérdése, amelynek a megítélése úgy változott az elmúlt évtizedekben, hogy a tételesjogi szabályozás lényegét tekintve 1995 óta változatlan. A kérdés gyakorlati tétjét azonban álláspontunk szerint az adathasznosításban rejlő lehetőségek nagymértékben megnövelik. ■
JEGYZETEK
[1] A fejezetcímet Paul Ohm híres cikkének címe inspirálta (Paul Ohm: Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization. UCLA Law Review 2010/6. 1701-1778. o. (HeinOn-line-ból letöltve).
[2] Latanya Sweeney kutatásait idézi Ohm: i.m. 1705. o.
[3] Alexin Zoltán: Kockázatokat rejt az egészségügyi adatok anonimizálása. IME 2014/2. 71-72. o., https://www.imeonline.hu/tmp/dd5c7f861ad8121bcd164d6d3b94d209.pdf (Letöltve: 2022.10.15)
[4] Uo.
[5] Narayanan és Shmatikov munkáját idézi és elemzi Ohm: i.m. 1722. o.
[6] Bán-Forgács Nóra: Információszabadság és Covid Magyarországon MTA Law Working Papers 2021/30. 10. o. https://jog.tk.hu/mtalwp/informacioszabadsag-es-covid-magyarorszagon?download=pdf (Letöltve: 2022.11.15.)
[7] Ezáltal egyes, eredetileg nem személyazonosítást célzó adatok (tulajdonságok) ún. kvázi azonosítóként funkcionálhatnak.
[8] Bán-Forgács: i.m. 11. o.
[9] Ld. pl. Gulyás Gábor György: Gépi tanulási módszerek alkalmazása deanonimizálásra. Információs társadalom 2017/1. 72-86. o.;
[10] Gulyás: i.m. 74., 79., 83. o.
[11] Egy nagy távközlési cég, az Orange például az anonimizált(nak vélt) adatbázisának vizsgálatát kérte erre szakosodott kutatóktól. Gulyás: i.m. 79. o.
[12] Gulyás: i.m. 84. o.
[13] Alex Hern: 'Anonymised' data can never be totally anonymous, says study. The Guardian, 23.07.2019 https://www.theguardian.com/technology/2019/jul/23/anonymised-data-never-be-anonymous-enough-study-finds (Letöltve: 2022.11.20.)
[14] A szerzők modellje alapján az amerikai lakosság 99,98%-a azonosítható bármely olyan adatbázisban, amely tartalmaz legalább
[15] demográfiai jellemzőt. Luc Rocher - Julien M. Hendrickx - YvesAlexandre de Montjoye: Estimating the success of re-identifications in incomplete datasets using generative models, Nature Communications 2019/10. 1. o. https://doi.org/10.1038/s41467-019-10933-315 Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
[16] "[A]z adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható." (GDPR (26) preambulumbek.)
[17] Európai Bizottság: Fehér könyv a mesterséges intelligenciáról: a kiválóság és a bizalom európai megközelítése, COM(2020) 65 final, 2. o. https://op.europa.eu/hu/publication-detail/-/publication/ac957f13-53c6-11ea-aece-1aa75ed71a1 (Letöltve: 2021.02.24.)
[18] Innovációs és Technológiai Minisztérium: Magyarország Mesterséges Intelligencia Stratégiája 2020-2030 24. o. https://digitalisjoletprogram.hu/files/6f/3b/6f3b96c7604fd36e436a96a3a01e0b05.pdf (Letöltve: 2021.02.24.)
[19] E tanulmány során - követve a jogszabályok és a szakirodalom általános terminológiáját - "anonimizált adatnak" nevezzük az eredetileg személyes adatból anonimizálással létrejött adatot, míg az "anonim adat" olyan adatra is használható, ami eredetileg sem minősült személyes adatnak.
- 45/46 -
[20] Erre a GDPR (26) preambulumbekezdése mellett máshol a normaszövegben is van példa: a nyílt adat irányelv 2. cikk 7. pontja alapján "anonimizálás": a dokumentum olyan anonim dokumentummá történő átalakításának folyamata, amely nem azonosított vagy azonosítható természetes személyre vonatkozik, valamint a személyes adatok olyan anonim adatokká történő átalakításának folyamata, amelynek következtében az érintett nem vagy többé nem azonosítható.
[21] A 29. cikk alapján létrehozott adatvédelmi munkacsoport 4/2007 véleménye a személyes adat fogalmáról (WP136, a továbbiakban WP29: 4/2007. sz. vélemény)
[22] GDPR (27) preambulumbek. Ezt Magyarország is részben megtette, ld. pl. az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) 25. §-át vagy az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (Eüak.) 3/A. §-át.
[23] 2009. évi CXV. törvény az egyéni vállalkozóról és az egyéni cégről
[24] NAIH/2018/5233/4/V. 1. o. https://www.naih.hu/files/NAIH-2018-5233-4-V.pdf (Letöltve: 2021.02.19.)
[25] WP29: 4/2007. sz. vélemény 9. o.
[26] WP29: 4/2007. sz. vélemény 11-12. o.
[27] WP29: 4/2007. sz. vélemény 6. o.
[28] WP29: 4/2007. sz. vélemény 8. o.
[29] WP29: 4/2007 vélemény 13-14. o.
[30] Uo.
[31] Polyák Gábor - Szőke Gergely László: Elszalasztott lehetőség? Az új adatvédelmi törvény főbb rendelkezései. In: Drinóczi Tímea (szerk.): Magyarország új alkotmányossága, PTE Állam- és Jogtudományi Kar, Pécs 2011. 156-157. o. Az abszolút és relatív értelmezésről, annak magyar hatósági és bírósági gyakorlatáról ld. még Jóri András - Soós Andrea Klára - Bártfai Zsolt - Hári Anita: A GDPR magyarázata. HVG-ORAC, Budapest 2018. 62-74. o.
[32] Frederik J. Zuiderveen Borgesius: Singling out people without knowing their names - Behavioural targeting, pseudonymous data, and the new Data Protection Regulation. Computer Law & Security Review 2016/2. 263. o., Michèle Finck - Frank Pallas: They who must not be Identified - Distinguishing Personal from Non-Personal Data under the GDPR, 2020. 13. o. https://ssrn.com/abstract=3462948 (Letöltve: 2022.06.26.)
[33] "any data which conceivably can be linked to an individual (in whatever way, and by whoever) are to be regarded as "personal" (even if one may make concessions, or apply the rules in a more relaxed way, if this possibility is somewhat remote)." Douwe Korff: EC Study on Implementation of Data Protection Directive 95/46/EC, 2002. http://dx.doi.org/10.2139/ssrn.1287667, 20. o. A szerző ugyanakkor az "objektív vagy abszolút" jelző nem használja, csak szembeállítja ezt a megközelítést a "relatív" értelmezéssel (anélkül, hogy állást foglalna egyik vagy másik mellett).
[34] Ld. még erről: Polyák - Szőke: i.m. 156-157. o., Jóri András - Soós Andrea Klára - Bártfai Zsolt - Hári Anita: i.m. 62-69. o.
[35] GDPR (26) preambulumbek.
[36] WP29: 4/2007. sz. vélemény 17. o. Meg kell jegyezni, hogy a munkacsoport nem a GDPR, hanem a korábbi adatvédelmi irányelv szövegezését vette alapul, amely magyar fordításban ugyan kissé eltérő a GDPR által használthoz képest ("minden olyan módszert figyelembe kell venni, amit az adatkezelő vagy személy valószínűleg felhasználna"), de az angol szövegezés alapvetően azonos ("means reasonably likely to be used"). Ld. Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról, 26. preambulumbek.).
[37] GDPR (26) preambulumbek.
[38] WP29: 4/2007. sz. vélemény 17. o.
[39] WP29: 4/2007. sz. vélemény 18. o.
[40] WP29: 4/2007. sz. vélemény 20. o.
[41] Amennyiben abszolút értelmezés alatt csak azt értjük, hogy akkor is fennállhat az azonosíthatóság, ha az ahhoz szükséges adatok nem az adatkezelőnél, hanem egy másik szereplőnél vannak, akkor ez igaz is. Ez azonban még az azonosíthatóság elvi-teoretikus lehetőségéről nem mond semmit.
[42] C-582/14. sz. ügy 47., 49. pont
[43] C-582/14. sz. ügy 46. pont.
[44] Ld. pl. Jóri András - Soós Andrea Klára - Bártfai Zsolt - Hári Anita: i.m. 69-74. o., ill. BH 2019.272.
[45] NAIH: Közlemény az Erzsébet-táborokban a táborozó gyermekek részére készített, "Véleményed kincs!" című kérdőívhez kapcsolódó adatkezelést illetően, 1. o. https://www.naih.hu/files/2020-07-22-kozlemeny_Erzsebet-tabor.pdf (Letöltve: 2022.11.18.)
[46] NAIH: i.m. 2. o.
[47] GDPR 4. cikk 5. pont
[48] A 29. cikk alapján létrehozott adatvédelmi munkacsoport 05/2014 véleménye az anonimizálási technikákról (WP216, a továbbiakban: WP29: 05/2014. sz. vélemény)
- 46/47 -
[49] Sophie Stalla-Bourdillon - Alison Knight: Anonymus data v. personal data - a false debate: an EU perspective on anonymization, pseudonymization and personal data. Wisconsin International Law Journal, 2017, 13. o. https://ssrn.com/abstract=2927945 (Letöltve: 2022.09.15.)
[50] E néhány bekezdésben a "visszafordíthatatlan" és a "nem lehetséges" kifejezéseket úgy kell érteni, hogy "ésszerűen feltétezhető módon visszafordíthatatlan vagy nem lehetséges." Erről ld. még ugyanezen fejezetet, valamint a V. fejezet 1. pontját.
[51] GDPR (26) preambulumbek.
[52] Ezzel egyező álláspontot képvisel Miranda Mourby et.al.: Are 'pseudonymised' data always personal data? Implications of the GDPR for administrative data research in the UK. Computer Law and Security Review 2018/2. 223. o., https://doi.org/10.1016/j.clsr.2018.01.002
[53] WP29: 05/2014. sz. vélemény
[54] ENISA: Pseudonymisation techniques and best practices, 2019 (ENISA 2019), https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices (Letöltve: 2021.03.10.)
[55] WP29: 05/2014. sz. vélemény 12. o.
[56] Az ezzel kapcsolatos értelmezési kérdéseket ld. a V. 1. alfejezetben.
[57] WP29: 05/2014. sz. vélemény 13. o.
[58] Uo.
[59] Uo.
[60] WP29: 05/2014. sz. vélemény 14. o.
[61] WP29: 05/2014. sz. vélemény 16-17. o.
[62] WP29: 05/2014. sz. vélemény 17-18. o.
[63] Magyar et. al.: Adattárház és adatbázis adatanonimizálás módszerei, Budapesti Műszaki és Gazdaságtudományi Egyetem Távközlési és Médiainformatikai Tanszék, 2012. 9. o. https://www.academia.edu/39818226/Adatt%C3%A1rh%C3%A1z_%C3%A9s_adatb%C3%A1zis_adatanonimiz%C3%A1l%C3%A1s_m%C3%B3dszerei (Letöltve: 2022.11.20)
[64] WP29: 05/2014. sz. vélemény 17-18. o.
[65] WP29: 05/2014. sz. vélemény 19. o.
[66] A HMAC egy a kriptográfiában alkalmazott hash függvény és egy titkos kulcs kombinációja, a Hash/hash-based authentication code anagrammja.
[67] ENISA: i.m. 21-23. o.
[68] Stalla-Bourdillon - Knight: i.m. 2. o.
[69] AEPD-EDPS: 10 misunderstanding related to anonymisation, 2021. 4. o. https://edps.europa.eu/system/files/2021-04/21-04-27_aepd-edps_anonymisation_en_5.pdf (letöltve: 2022.10.13.)
[70] Gulyás: i.m. 74. o.
[71] Ezt nevezi tulajdonképpen Ohm a magánszféra hamis ígéretének. Ohm: i.m. 1706, valamint Alexin Zoltán: Does fair anonymization exist? International Review of Law, Computers & Technology 2014/1. 3-4. o. http://dx.doi.org/10.1080/13600869.2013.869909
[72] Ohm: i.m. 1711-1712 o.; Alexin: Does fair anonymization exist?, 4. o.
[73] Ohm: i.m. 1706-1707. o.
[74] GDPR (26) preambulumbek.
[75] WP29: 4/2007. sz. vélemény 17. o.
[76] Stalla-Bourdillon - Knight: i.m. 4. o.
[77] Stalla-Bourdillon - Knight: i.m. 4-5. o.
[78] Finck - Pallas: i.m. 12. o.
[79] Stalla-Bourdillon - Knight: i.m. 25-26. o.
[80] Mint például az angol információs biztos (ICO) megközelítése. Ld. Stalla-Bourdillon - Knight: i. m. 26. o.
[81] Mourby et. al.: i.m. 231. o.
[82] Emily M. Weitzenboeck et. al.: The GDPR and unstructured data: is anonymization possible? International Data Privacy Law, 2022/3. 193. o. https://doi.org/10.1093/idpl/ipac008, valamint Finck - Pallas: i.m. 7-8. o.
[83] WP29: 05/2014. sz. vélemény 6-7. o.
[84] WP29: 05/2014. sz. vélemény 6., 9. o.
[85] Finck - Pallas: i.m. 8. o.
[86] WP29: 4/2007. sz. vélemény 17. o.
[87] Alexin: Does fair anonymization exist? 3. o.
[88] Singapore Personal Data Protection Commission (PDPC): Guide to basic data anonymisation techniques, 2018 (PDPC 2018), https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Anonymisation_v1-(250118).pdf (Letöltve: 2020.09.15)
[89] Information Commissioner's Office
[90] The "Motivated Intruder" test, ICO: Anonymisation: managing data protection risk code of practice. 2012. 22-25. o. https://ico.org.uk/media/1061/anonymisation-code.pdf (Letöltve: 2019.12.10)
[91] A motiváció fakadhat gonosz személyes szándékból, pénzügyi előny megszerzéséből, ismert ember adatainak nyilvánosságra hozatalából, politikai szándékokból, vagy puszta kíváncsiságból is. ICO: i.m. 23. o.
[92] További lehetséges források: helyi hivatalok, egyházi vagy más állami nyilvántartások, közösségi média; helyi és nemzeti sajtó archívumok, anonimizált adatközlések más szervezetek, hatóságok részéről, stb.
[93] ICO: i.m. 22-24. o.
[94] InnoHealth DataLake. Hálózatos analitikai és adathasznosítási lehetőségek az egészségügyben, GINOP 2.2.1-15-2017-00067
- 47/48 -
[95] GDPR 26. preambulumbek. WP29: 4/2007. sz. vélemény, 17. o.
[96] Gulyás: i.m. 84. o.
[97] Stalla-Bourdillon - Knight: i.m. 37-38. o.
[98] Ugyanakkor ez nem jelenti azt természetesen, hogy ez egyetlen intézkedésként önmagában elegendő minden kockázat kezelésre, de ettől még jelentős hatású intézkedésnek gondoljuk.
[99] A felelősség kérdéséről ld. Stalla-Bourdillon -Knight: i.m. 36. o.
Lábjegyzetek:
[1] A szerző igazgatóhelyettes, Semmelweis Egyetem, Transzlációs Medicina Központ, doktorjelölt, Pécsi Tudományegyetem Állam- és Jogtudományi Doktori Iskola.
[2] A szerző tanszékvezető, adjunktus, PTE ÁJK Technológiai Jogi és Energiajogi Tanszék.
Visszaugrás
