Adatvédelem és információszabadság

Egy cikk, egy gondolat az álnevesítésről

nemzeti adatvagyon kibertámadások

Bár még végigolvasni is alig van időm (és nem mintha bárki kérné), de nem tudom megállni, hogy ne fűzzek néhány gondolatot a Katonai Nemzetbiztonsági Szolgálat legfrissebb Felderítő Szemle számában, Korszerű nemzeti taktikai kiképzőrendszer fejlesztésének kérdései, GDPR megfelelősége címmel megjelent tanulmányhoz.

A szakmai cikk egy taktikai kiképző rendszer fejlesztésének lehetséges problémaköreit elemzi, ideértve az IT projektmenedzsmenttel, a hardver és szoftver elemekkel, távközléssel kapcsolatos ismereteket egyaránt. A cikk témája szerintem egészen jól körbe van járva (amennyire meg tudom ítélni), azt nem tudom, hogy el lehet-e dönteni alapján, hogy milyen gyakorlati előfeltételei és lépései vannak egy ilyen fejlesztésnek (véleményem erről persze még van), de gondolatébresztésre szerintem mindenképp alkalmas.

A szerzők azonban ezen túlmenően hozzávették a terület jogi szabályozása kapcsán a GDPR kérdéskörét is, és ott olyat olvastam, hogy azóta is azon gondolkodom, hogy lehet, hogy csak én hagytam ki valamit, valamikor. Az uniós adatvédelmi norma kapcsán ugyanis elemzésre kerül az is, hogy miért és hogyan érdemes a keletkező személyes, vagy épp nem személyes adatokat kezelni. Ebből két hosszabb bekezdést emelnék most ki, szándékosan szó szerint (mert lehet, hogy csak én értek félre valamit). A dőlt betűs idézetek után a saját gondolataimat foglalnám össze.

„Az egészségügyi rendszerekben és a klinikai kutatásokban is alkalmazott pszeudoanonimizáció megfelel a kiképzési adatok gyűjtéséhez, mivel az összes fent említett adat becsatornázásra kerülhet, az azon végzett kutatások eredményei alapján akár kiképzési, felkészítési tervek, alapelvek fókusza is megváltozhat. E módszer lényege – a szokásos anonimizáción túl, ahol az adatot csupán megfosztják az azonosítható részektől –, hogy egy anonim azonosítót (kulcsot) képezünk oly módon minden személyhez, hogy az minden rendszerben ugyanúgy készüljön, tehát különböző rendszerek ugyanazt a kulcsot képezzék ugyanahhoz a személyhez.”

A véleményem szerint már az egészségügyi rendszerben alkalmazott anonimizációt is érték kritikák. Másfelől a pszeudoanonimizáció nem mutat a „szokásos” anonimizáción túl, épp azért, mert annál eleve kevesebb (erre utal a pszeudo jelentése: ál-, hamis-, látszólagos-). A NAIH által is megerősített jogértelmezés szerint az természetesen igaz, hogy álnevesítés útján további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, mivel az ilyen további információt külön tárolják.

Azonban az álnevesített személyes adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni, és továbbra is ennek megfelelően kell kezelni. A pszeudoanonimizáció a véleményem szerint egy, az adatvédelmi kockázatot, rendszer szinten is csökkenteni képes eszköz, de nem anonimizáció.

„Az így anonimizált személy adatai (a személyes adatokat, PID-eket eltávolítva) egy elemezendő központi adatbázisba több helyről kerülhetnek, mégpedig anélkül, hogy az adott személlyel összekapcsolható lenne. Természetesen további módszereket kell alkalmazni, hogy a többforrásos adatfelderítési technikák hatékonyságát csökkentsük, de a feladatra megfelel egy erre a célra kialakított szoftverszolgáltatás (modul), amely a személy természetes adataiból (születési név, hely, idő, anyja neve) összeállított adatcsomagján egyirányú titkosítást alkalmaz (hash-t képez). Ha mégis szükség van egy személy azonosítására, akkor az szintén megoldható, de csak az adat keletkezésének helyén lehet külön kérés alapján elvégezni.”

A szerzők véleményétől eltérően a véleményem szerint tehát így nem anonimizáltak az érintettek adatai, ezt alátámasztja, hogy a tanulmány is problémafelvetésként jelzi, hogy „a többforrásos adatfelderítési technikák hatékonyságát” csökkenteni kell (másként megközelítve: az mégis eredményre vezethet).  De a legbeszédesebb így is az a mondat, hogy ha mégis szükség van egy személy azonosítására, akkor az szintén megoldható(!), pedig  az anonimizálás szerintem per definitionem: „az adatok megfosztása személyes jellegüktől úgy, hogy további információk felhasználásával kapcsolatuk az érintettel már nem állítható helyre.” Akkor sem, ha szükség lenne rá.

Mindezt a kis gondolatmenetet csak azért gondoltam leírni, mert szerintem elég sok érdekes megközelítés kering az álnevesítés problémaköre kapcsán, lehetnek vitatható, sőt feltárandó álláspontok, de egy olyan cikkben, ami arról szól már a címében kiemelten is, hogy egy IT fejlesztés hogyan felelhet meg a GDPR követelményeinek ez a megközelítés meglehetősen pontatlannak tűnik. Ettől még nem állítom, hogy ne lehetne egy jó, adatvédelmi szempontból megfelelő, átgondolt rendszert csinálni az igények maximális figyelembe vételével, csak nem biztos, hogy az így születik majd meg.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:

 

Ajánlott tartalom