אירופה: הנחיות חדשות על אנונימיזציה

אולי יעניין אותך גם

מועצת הרשויות הלאומיות להגנת מידע במדינות האיחוד האירופי (European Data Protection Board – EDPB) אימצה עדכון משמעותי לחוות הדעת בנושא אנונימיזציה משנת 2014. הצורך בעדכון נובע משינויים בפסיקת בית הדין האירופי (CJEU) ומהתפתחויות בבינה מלאכותית ובטכנולוגיה. מטרת הגרסה המעודכנת היא להבהיר מהו מידע אנונימי ולספק מסגרת מעשית לבדיקה האם נתונים אכן עברו אנונימיזציה — כדי לאפשר שימוש חופשי במידע מבלי לסכן את זכויות הפרטים.

מידע אנונימי לא כפוף ל-GDPR מה שמעורר את השאלה מתי מידע הוא אנונימי. המבחן המרכזי כולל שתי שאלות: (א) האם המידע "מתייחס" לאדם טבעי? (ב) האם אותו אדם "מזוהה או ניתן לזיהוי" הודות לשימוש באמצעים סבירים? תשובה שלילית לאחת מהן מספיקה כדי לראות במידע אנונימי.
היבט מרכזי הוא הפרספקטיבה, משום שהתשובה עשויה להשתנות מגוף לגוף — מידע יכול להיות אנונימי עבור ארגון אחד ואישי עבור אחר. זהו אחד החידושים המרכזיים בפסיקת בית המשפט הגבוה באירופה. יש לזהות מראש עבור מי המידע אמור להיות אנונימי. כאשר גוף מעבד מידע בשם גוף אחר (מעבד - processor), יש לבחון את המידע דרך הפרספקטיבה של בעל השליטה במידע.

מידע נחשב לכזה ה"מתייחס" לאדם בשל תוכן, מטרה או השפעה — גם אם הקשר אינו גלוי מיד או דורש עיבוד נוסף. "זיהוי" משמעו יכולת להבחין בין אדם לאחרים בהקשר נתון ולהתייחס אליו באופן שונה, בין אם באמצעות מזהה ישיר ובין אם באמצעות שילוב מאפיינים ייחודיים. לכן, "זיהוי" לא מחייב ידיעה מהי זהותו המוכרת ברבים של האדם.

המבחן של "אמצעים שסביר שייעשה בהם שימוש" מתפרש בהרחבה: הוא כולל אמצעים של צדדים שלישיים ו"שרשראות" אמצעים. ההסתברות לזיהוי אינה חייבת להיות אפס — די בכך שתהיה זניחה במציאות כדי שמידע ייחשב אנונימי. יש לשקול גורמים אובייקטיביים: תכונות הנתונים, ההקשר, מידע נוסף זמין, עלות וזמן, וטכנולוגיה קיימת וצפויה. ה-EDPB מזהיר מפני הסתמכות על "חוסר מוטיבציה", כלומר הסתכמות על כך שלא צפוי להיות למישהו מניע לרצות להביא לזיהוי האדם. ה-EDPB עוד מבהיר שהגבלה חוזית לבצע זיהוי מחדש אינה שקולה לאיסור חוקי, ומדגיש שיש לשקול גם שחקנים זדוניים, האקרים, עובדים סוררים, עיתונאים חוקרים ורשויות מודיעין.

ההנחיה ממליצה להתחשב בשלושת הקריטריונים הבאים כדי לבחון האם המידע הוא אנונימי:
1.    אי בידוד רשומה (No Record Isolation) — הנתונים הנדונים אינם מכילים שילוב ייחודי של ערכים המתייחס ליחיד.
2.    אי קישוריות (No Linkage) — אין רשומה שניתן לקשר לרשומה במאגר אחר המתייחסת לאותו אדם.
3.    אי הסקה (No Inference) — לא ניתן להסיק מסקנה ספציפית ומשמעותית: ספציפית כשהיא נוגעת ליחיד מזוהה; משמעותית כשהיא משפיעה על זכויותיו ואינה נגזרת מידע כללי או מנתוני האוכלוסייה בכללותה.

עמידה בשלושת הקריטריונים מאפשרת לראות בנתונים אנונימיים. כישלון באחד מהם אינו הופך אותם אוטומטית למידע אישי משום שנדרשת בחינה נוספת. 
ההנחיה היא בגרסת טיוטה הפתוחה להערות הציבור.