2025-02-24

ევროპის მონაცემთა დაცვის საბჭოს მიერ პერსონალურ მონაცემთა ფსევდონიმიზაციის სახელმძღვანელო რეკომენდაციის გამოქვეყნების შესახებ

---

2025 წლის იანვრის პლენარულ სხდომაზე ევროპის მონაცემთა დაცვის საბჭომ (“EDPB”) შეიმუშავა რეკომენდაცია მონაცემთა ფსევდონიმიზაციის შესახებ[1], რომელიც  ხელს შეუწყობს მონაცემთა დამუშავებისთვის პასუხისმგებელ პირთა მონაცემთა დაცვის საკანონმდებლო მოთხოვნებთან შესაბამისობას.[2] საბჭო ფსევდონიმიზაციას განმარტავს როგორც მონაცემთა დაცვის ეფექტიან საშუალებას. ფსევდონიმიზაცია მონაცემთა იმგვარი დამუშავებაა, რომლის დროსაც დამატებითი ინფორმაციის გამოყენების გარეშე შეუძლებელია მონაცემების კონკრეტულ  სუბიექტთან დაკავშირება და ეს დამატებითი ინფორმაცია შენახულია ცალკე, ტექნიკური და ორგანიზაციული ზომების მეშვეობით, იმგვარად, რომ მონაცემების იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირთან დაკავშირება პრაქტიკულად შეუძლებელია. რეკომენდაციაში საბჭო მიმოიხილავს ფსევდონიმიზაციისა და ფსევდონიმიზირებულ მონაცემებს, მათი გამოყენების საკითხს და აღნიშნულის უპირატესობებს.

სახელმძღვანელო რეკომენდაციაში განმარტებულია რამდენიმე მნიშვნელოვანი სამართლებრივი საკითხი:

მონაცემთა ფსევდონიმიზაციის არსი: მონაცემი ფსევდონიმიზაციის პროცესის შემდგომ,  დამატებით ინფორმაციასთან გაერთიანების გზით  შესაძლოა დაუკავშირდეს იდენტიფიცირებად მონაცემთა სუბიექტს, შესაბამისად, ფსევდონიმიზირებული მონაცემი კვლავ პერსონალურ მონაცემად მიიჩნევა. იმ შემთხვევაში, თუ მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს შეუძლია დააკავშიროს ფსევდონიმიზირებული მონაცემი მონაცემთა სუბიექტთან, აღნიშნული ინფორმაცია პერსონალურ მონაცემად უნდა კვალიფიცირდეს.

რისკის შემცირება: ფსევდონიმიზაციის პროცესი იძლევა მონაცემთა დამუშავებასთან ასოცირებული რისკების შემცირების შესაძლებლობას, რადგან აღნიშნული პროცესი ითვალისწინებს იმ პერსონალურ მონაცემთა განცალკევებით და უსაფრთხოდ შენახვას, რომლებიც  იდენტიფიცირებად ან იდენტიფიცირებულ პირებთან შესაძლოა იქნას ასოცირებული.[3]

ლეგიტიმური ინტერესი, როგორც მონაცემთა დამუშავების სამართლებრივი საფუძველი: რეკომენდაციის თანახმად, ფსევდონიმიზაცია ამარტივებს მონაცემთა დამუშავების საფუძვლად ლეგიტიმური ინტერესის გამოყენებას. ლეგიტიმური ინტერესის კრიტერიუმი არის პერსონალური მონაცემების დამუშავების ერთ-ერთი ყველაზე მნიშვნელოვანი სამართლებრივი საფუძველი. თუმცა, ლეგიტიმური ინტერესის საფუძველზე მონაცემთა დამუშავებამდე საჭიროა  მონაცემთა სუბიექტის უფლებათა დაცვასა და მონაცემთა დამუშავების ინტერესის დაბალანსება (ე.წ. „ბალანსის ტესტი “balancing exercise”). ვინაიდან ფსევდონიმიზაციის პროცესი ამცირებს მონაცემთა სუბიექტების უფლებებისა და თავისუფლებებზე ნეგატიური ზემოქმედების რისკებს. ზემოთ აღნიშნული ბალანსის შეფასების პროცესში პრიორიტეტი შესაძლოა დამუშავებისთვის პასუხისმგებელი პირის ინტერესს მიენიჭოს.[4]

რეკომენდაციაში განმარტებულია ფსევდონიმიზაციის, როგორც ორგანიზაციებისათვის დამხმარე საშუალების ფუნქცია, კერძოდ, მონაცემთა დაცვის პრინციპების[5] („ევროკავშირის მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლი),  განხორციელებასთან დაკავშირებული ვალდებულებების შესრულებაში, ასევე, მონაცემთა მეტად დაფარვის პრიორიტეტის[6] (ძირითადი რეგულაციის 25-ე მუხლი) და უსაფრთხოებს კუთხით (ძირითადი რეგულაციის 32-ე მუხლი)[7]. რეკომენდაცია შეიცავს ტექნიკური და ორგანიზაციული ზომებისა და გარანტიების ანალიზს, ფსევდონიმიზაციის გზით მონაცემთა სუბიექტების კონფიდენციალურობის უზრუნველსაყოფად.