Руководство по GDPR. Мария Беляева
на них более не распространяется.
Регламент предусматривает, что физическое или юридическое лицо, не обязано проводить обработку дополнительных данных для идентификации субъекта после процедуры обезличивания. Но в случае повторно проводимых операций, например, осуществление права доступа, исправления, удаления, ограничения обработки и операций по переносу данных, когда субъект данных предоставляет дополнительную информацию и совокупность атрибутов для идентификации, такой набор данных становится персональными данными.
Псевдонимизация
К персональной информации относятся следующие атрибуты: имя, дата рождения, пол, адрес и другие элементы, по совокупности которых вас могут идентифицировать. Процесс псевдонимизации личных данных означает, что идентифицируемые атрибуты заменяются псевдонимами.
Законодательство ЕС толкует псевдонимизацию как «обработку персональных данных таким образом, при котором персональные данные больше не могут быть соотнесены с конкретными субъектами данных без использования дополнительных атрибутов данных, при условии, что такие атрибуты хранятся отдельно и защищены организационными и техническими мерами от возможной попытки идентификации субъекта».
В отличие от обезличенных данных псевдонимизированные данные по-прежнему относятся к персональным данным, которые подпадают под юрисдикцию Общего регламента по защите данных.
Общий регламент по защите данных признает различные виды использования псевдонима в качестве соответствующей технической меры для усиления защиты данных и специально упоминается при проектировании систем защиты данных и при определении средств обработки с использованием механизмов защиты по умолчанию (by design and by default).
Псевдонимизация прямо не упоминается в правовых определениях Модернизированной Конвенции 108. Тем не менее в Пояснительном докладе Модернизированной Конвенции 108 указано, что «использование псевдонима или любого цифрового идентификатора не приводит к обезличиванию данных, так как субъект все еще может быть идентифицирован и выделен как субъект данных».
Один из способов псевдонимизации данных – шифрование. После того как данным был присвоен псевдоним, расшифровка данных возможна только при наличии ключа дешифрования. Без такого ключа идентификация крайне затруднительна. Однако для владельцев такого ключа, повторная идентификация не составит сложности. Несанкционированное использование ключей дешифрования представляет риск для обработки персональных данных. Таким образом, «псевдонимированные данные должны рассматриваться как персональные данные», подпадающие под юрисдикцию Модернизированной Конвенции 108.
Аутентификация
Данная процедура предназначена для подтверждения соотношения субъекта данных с определенной личностью, или с выполнением определенных действий,