Ochrana osobních údajů, anonymní údaje

Jak bylo detailněji popsáno v předchozí kapitole, osobním údajem dle evropského (a tedy i českého) práva je každá informace, pokud se týká konkrétního určeného nebo určitelného člověka. Každá informace může být osobním údajem, pokud vede k identifikaci konkrétního člověka, byť třeba v kombinaci s dalšími informacemi. A pokud je informace osobním údajem, dopadají na nakládání s ní ustanovení zákona o ochraně osobních údajů.

Anonymizovaná data jsou taková, která ani nepřímo nepomáhají v identifikaci určitého člověka a nejsou s ním tedy nijak spojitelná. Díky tomu je možné s nimi volněji nakládat, protože nejsou regulovány přísnými pravidly zákona o ochraně osobních údajů. Často se anonymizovaných údajů používá ve výzkumech, kde se pracuje s velkým množstvím data a kde nejsou důležití konkrétní jednotlivci, ale obecné trendy pozorované na základě velkého množství vstupních údajů.

Je třeba si uvědomit, že pouhé „začernění“ jména v dokumentech často k účinné anonymizaci nestačí. Pokud ostatní informace z dokumentu jasně odkazují na konkrétního člověka, nebo na velmi malou množinu konkrétních lidí, nemůžeme dokument považovat za anonymizovaný. Anonymitu dokumentu, nebo souboru údajů, je tak třeba posuzovat dle kontextu konkrétního případu.

Nyní si stručně představíme některé anonymizační techniky. Ty totiž nespočívají jen v prostém odstranění informací, ale rovněž v jejich modifikaci. První z nich je vyloučení identifikačních informací, kdy administrátor databáze vymaže všechny informace, které považuje za osobní údaje (typicky jména, rodná čísla). Druhou technikou je potlačení hodnoty. Jedná se vlastně o druhou fázi vyloučení identifikačních informací. Administrátor nyní odstraní z tabulky prázdné sloupce po informacích, které považoval za osobní údaje (například ze seznamu pacientů úplně odstraní sloupce data narození, adresy a jména všech pacientů). Tím se vytratí informace o tom, že taková data byla vůbec někdy přítomná. Třetí je zobecnění, technika, při níž administrátor upraví informace tak, aby byly obecné (pro příklad odstraní z data narození den a měsíc a ponechá pouze rok). Poslední technikou je seskupení. Administrátor použije data, která má k dispozici, a vytvoří nový systém dat, v němž původní data spojuje (například neuvádí zvlášť sedm konkrétních případů mužů z Brna trpících nespavostí, ale jen zanese informaci „Muži z Brna  - 7“).

Jak vidíme, velikým problémem anonymizace údajů je, že čím je soubor dat více anonymní, tím méně je vypovídající, protože obsahuje méně relevantních informací. Můžeme tak říci, že základní otázkou spojenou s anonymizací je vyvážení informační hodnoty souboru údajů na jedné straně a určitosti identifikace jednotlivce na straně druhé. Druhou možností, která se stále častěji používá, je tzv. pseudonymizace, tedy cílené změny původních údajů. Její princip spočívá v úpravě údajů v takové míře, že již neukazují na konkrétní lidi, ale zároveň ještě leží v oblasti statistické odchylky. Výhodou oproti klasické anonymizaci je větší použitelnost a detailnost dat při jejich vyjmutí z ochrany zákona o ochraně osobních údajů. Problém snížené užitečnosti dat se však nepodařilo odstranit zcela, neboť získání zcela detailních informací není možné kvůli prvotním změnám v datovém souboru. Navíc stále existují druhy dat, které ze své podstaty být anonymizovány nebo pseudonymizovány nemohou (například genetické informace).

Doporučená literatura:

OHM, Paul. Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization. UCLA Law Review. [online]. 2010, vol. 57, no. 6, pp. 1701 – 1777. [cit. 25. 4. 2014] Dostupné z: http://www.uclalawreview.org/?p=1353.