Στο πλαίσιο ενημέρωσης για τη νομοθεσία των προσωπικών δεδομένων, η ΕΑΕΕ, με δελτίο Τύπου προς τις ασφαλιστικές εταιρείες – μέλη της, ενημερώνει ότι στις 17 Ιανουαρίου, το EDPB (Ευρωπαϊκό Συμβούλιο για την Προστασία των Δεδομένων) υιοθέτησε σχέδιο κατευθυντήριων γραμμών (εδώ) για την ψευδωνυμοποίηση. Το κείμενο έχει σκοπό να διευκρινίσει τον όρο και την εφαρμογή της ψευδωνυμοποίησης και των ψευδωνυμοποιημένων δεδομένων.

Ως ψευδωνυμοποιημένα δεδομένα θεωρούνται οι πληροφορίες που μπορούν να ταυτοποιήσουν ένα φυσικό πρόσωπο και, ως εκ τούτου, αποτελούν προσωπικά δεδομένα. Σύμφωνα με το EDPB, αυτό έχει εφαρμογή και στην περίπτωση που τα ψευδωνυμοποιημένα δεδομένα και οποιαδήποτε πρόσθετη πληροφορία δεν βρίσκονται στην κατοχή του ίδιου προσώπου. Ακόμα και αν όλες οι επιπλέον πληροφορίες που διατηρούνται από τον υπεύθυνο επεξεργασίας έχουν διαγραφεί με ψευδωνυμοποίηση, τα δεδομένα αυτά (ψευδωνυμοποιημένα) μπορούν να θεωρηθούν ανώνυμα μόνο εφόσον πληρούνται όλες οι προϋποθέσεις για την ανωνυμία (δηλαδή τα δεδομένα δεν μπορούν πλέον να ταυτοποιηθούν).

Το EDPB αναφέρει ότι η μείωση του κινδύνου που προκύπτει από την ψευδωνυμοποίηση μπορεί να επιτρέπει στους υπεύθυνους επεξεργασίας να θεωρούν ως νομική βάση για την επεξεργασία τους το έννομο συμφέρον του άρθρου 6 παρ. 1 στ) του ΓΚΠΔ. Μπορεί επίσης να συμβάλει στην καθιέρωση της συμβατότητας, προκειμένου δλδ να εξακριβωθεί κατά πόσο η περαιτέρω επεξεργασία (για άλλο σκοπό) είναι συμβατή με τον σκοπό για τον οποίο είχαν συλλεχθεί αρχικώς τα δεδομένα προσωπικού χαρακτήρα, σύμφωνα με το Άρθρο 6 παρ. 4 του ΓΚΠΔ. Τέλος, η μείωση του κινδύνου που προκύπτει με την ψευδωνυμοποίηση μπορεί να συμβάλει στη διασφάλιση ισοδύναμου επιπέδου προστασίας για τα δεδομένα που προορίζονται να διαβιβαστούν σε τρίτη χώρα.

Στο πλαίσιο αυτό, οι υπεύθυνοι επεξεργασίας θα πρέπει να καθορίζουν ρητά τους κινδύνους που επιθυμούν να αντιμετωπίσουν μέσω ψευδωνυμοποίησης. Η επιδιωκόμενη μείωση αυτών των κινδύνων θα αποτελεί τον στόχο, το αντικείμενο της ψευδωνυμοποίησης για τη συγκεκριμένη δραστηριότητα επεξεργασίας. Οι υπεύθυνοι επεξεργασίας πρέπει να εφαρμόσουν την ψευδωνυμοποίηση κατά τρόπο, ώστε να διασφαλίζεται η αποτελεσματικότητά της στην επίτευξη του στόχου αυτού.

Τέλος, οι κατευθυντήριες γραμμές παρέχουν παραδείγματα τεχνικών ψευδωνυμοποίησης που μπορούν να χρησιμοποιηθούν από τους υπευθύνους επεξεργασίας για την εκπλήρωση των υποχρεώσεών τους σχετικά με την εφαρμογή των αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα (άρθρο 5 ΓΚΠΔ), την προστασία δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού (άρθρο 25 ΓΚΠΔ) και την ασφάλεια της επεξεργασίας (άρθρο 32 ΓΚΠΔ). Ο στόχος είναι να βοηθήσουν τις εταιρείες να επιλέξουν τα πλέον κατάλληλα τεχνικά μέτρα ανάλογα με το πλαίσιο και τον σκοπό της επεξεργασίας τους.

Οι κατευθυντήριες οδηγίες θα παραμείνουν για σχολιασμό στην ιστοσελίδα του EDPB έως 28 Φεβρουαρίου.

Για διευκρινίσεις μπορείτε να απευθυνθείτε στην κα Γιολάντα Κουκουλέτσου, Νομικό Σύμβουλο και ΥΠΔ της ΕΑΕΕ ([email protected]).

Ακολουθήστε την ασφαλιστική αγορά στο Google News