Adat-anonimizálás: személyes adatok inkognitóban

(frissítve: 2025.10.21.)

2023.02.20.

GDPR: szigorú szabályozás, súlyos bírságok 

Több mint hét évvel ezelőtt, 2018. május 26-án lépett hatályba a GDPR rendelet. Tudjuk, hogy a GDPR be nem tartása súlyos bírságokkal járhat: 2023-ban rekordösszegű, 1,78 milliárd euró bírságot szabtak ki Európában. Különösen figyelemre méltó, hogy az ír adatvédelmi bizottság (DPC) 2023 májusában 1,2 milliárd euróra büntette a Metát. 

Hollandia vezet a 100 000 főre jutó adatvédelmi incidensek számát illetően (150,7). Érdekes, hogy a holland adatvédelmi hatóság (Autoriteit Persoonsgegevens) 3,7 millió eurós bírságot vetett ki a holland adó- és vámhatóságra (Belastingdienst) személyes adatok jogellenes feldolgozása miatt. 

Németországban a rekordot az H&M tartja, amelyre a hamburgi adatvédelmi és információszabadsági biztos (Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, BfDI) 35 millió eurós bírságot szabott ki. Alsó-Szászországban nemrég egy online áruházat 10,4 millió eurós bírsággal sújtottak. 

Magyarországon az egykori Budapest Bank 250 millió forintos bírsága eddig a legmagasabb, amelyet a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) kiszabott. 

 

A személyes adatok anonimizálása – egy újabb kihívás 

A legtöbb EU-tagállam helyi pénzügyi felügyeleti hatóságai vagy központi bankja által kiadott ajánlások szerint a fejlesztési, tesztelési és elemzési környezetekben csak anonimizált személyes adatok használata megengedett. A Magyar Nemzeti Bank 8/2020 (VI. 22.) számú ajánlása is kimondja: „Az intézmény nem, vagy csak teljeskörű anonimizálást követően használ éles rendszerből vett adatokat a fejlesztői és tesztkörnyezetben.”  

Ezen túlmenően, a GDPR rendelet bevezetője (26) bekezdésében a következőket rögzíti: “Az adatvédelem elveit (…) az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.” 

 

Miért stratégiai szükségszerűség a személyes adatok anonimizálása?  

Az adatokra épülő digitális gazdaságban egyre fontosabb, hogy a szervezetek egyensúlyt teremtsenek az adatok hasznosítása és a magánélet védelme között. Az adatok anonimizálása – azaz a személyes azonosító adatok eltávolítása az adatbázisokból – kulcsfontosságú a GDPR-megfelelés szempontjából, miközben továbbra is lehetővé teszi az értékes, adatokon alapuló innovációt. Az érzékeny adatok anonimizálásával a vállalatok csökkenthetik a jogi, reputációs és pénzügyi kockázatokat anélkül, hogy csökkenne az adatokból kinyerhető információk értéke. 

Az anonimizálás azonban nem csupán a kockázatcsökkentésről szól: lehetőséget teremt az adatok biztonságos újrafelhasználására a fejlesztési, tesztelési és elemzési környezetekben. A megfelelően anonimizált adatok megoszthatók belsőleg vagy partnerekkel, felhasználhatók gépi tanulási modellek képzéséhez, vagy újra felhasználhatók elemzéshez, anélkül, hogy megsértenék az adatvédelmi előírásokat. Ez a képesség felgyorsíthatja a digitális átalakulást, miközben biztosítja a szabályoknak való megfelelést, különösen olyan ágazatokban, mint a pénzügyek és az egészségügy, ahol az adatvédelem kulcsfontosságú. 

Az anonimizálás azonban nem jár kihívások nélkül. A szervezeteknek meg kell találniuk az adatfelhasználás és az adatvédelem közötti komplex egyensúlyt. Az esettanulmányok azt mutatják, hogy az általános, mindenre alkalmazható anonimizálás gyakran felesleges adatromlást eredményez. Egy stratégiaibb, az adott felhasználási esetre szabott megközelítés, amelyben az anonimizálási technikákat az adatok újrafelhasználásának tényleges céljához igazítják, megőrizheti az adatok analitikai értékét, miközben betartja az adatvédelmi előírásokat. Az üzleti vezetők számára ez azt jelenti, hogy olyan folyamatokba és technológiákba kell befektetniük, amelyek lehetővé teszik az adatok adatvédelmi szempontból biztonságos kezelését anélkül, hogy gátolnák az innovációt. 

 

Milyen szervezetek számára fontos a személyes adatok anonimizálása? 

Általánosságban elmondható, hogy a személyes adatok anonimizálása minden olyan vállalat vagy szervezet számára fontos, amely nagy mennyiségű személyes adatot kezel: jellemzően ez a bankok és biztosítótársaságok mellett a távközlési vállalatokat is érinti, de ide sorolhatók azok a kiskereskedelmi láncok is, amelyek például törzsvásárlóik személyes adatait tömegesen kezelik. 

Emellett az adatok anonimizálásának jelentősége az egészségügyi és gyógyszeripari szektorban is növekszik, ahol az állami vagy magán-egészségügyi szolgáltatók és gyógyszeripari vállalatok szintén nagy mennyiségű, rendkívül érzékeny egészségügyi adatot kezelnek. 

Végül, amint azt a holland példán láthattuk, a közszféra (például az adóhatóság…) is érintett lehet. 

 

Hogyan lehet anonimizálni a személyes adatokat? 

A személyes adatok anonimizálásának három fő módja van: 

  • az azonosító információk eltávolítása – így Kovács János és Tóth Éva helyett Ügyfél 1. és Ügyfél 2. szerepel  
  • az adatok elkódolása – például Kovács János neve Xkd213sd Qewew5354-re változik  
  • az adatok maszkolása, azaz véletlenszerűen generált álnevek használata – ebben az esetben olyan értelmes álneveket hoznak létre, amelyek megőrzik az eredeti személyes adatok jellemzőit, például Kovács Jánosból Horváth József lesz, Tóth Éva pedig Németh Katalinná válik

adat-anonimizálás

A személyes adatok védelmének alapvető célja az első két módszer alkalmazásával is elérhető. Ha azonban a személyes adatokat tartalmazó adatbázist olyan fejlesztési vagy tesztelési környezetben használjuk, ahol rutinszerű fejlesztési és tesztelési folyamatok zajlanak (és ilyen esetekben is biztosítani kell az adatok védelmét!), fontos, hogy az anonimizált adatok értelmesek és konzisztensek maradjanak – értelmetlen kódokkal vagy hiányzó személyes adatokkal ez a feltétel nyilvánvalóan nem teljesül. 

 

Adatok anonimizálása egyszerűen, több rendszeren át  

A fejlesztési és tesztelési környezetekben található adatbázisokban tárolt személyes adatok védelmének fenntartása érdekében (megőrizve az anonimizált adatok értelmezhetőségét), a DSS Consulting egy átfogó megoldást fejlesztett ki, amelyet már számos ügyfelünk (köztük pénzintézetek, biztosítótársaságok, távközlési szolgáltatók) elégedetten használ. A DSS Data Anonym megoldásunk 

  • automatikusan felismeri és titkosítja az érintett rendszerekben található adatokat 
  • több rendszerben is támogatja az anonimizálást, miközben következetesen megőrzi az adatok közötti üzleti összefüggéseket 
  • könnyen integrálható nagyvállalati rendszerekbe 
  • teljes körű naplózást és szabványosított hitelesítéskezelést biztosít 


Lehet, hogy az Önök cégénél is szükség lehet a személyes adatok anonimizálására? Miért ne beszélgessünk erről egy kávé mellett? 

 

adat-anonimizálás, adatvédelem, bank, biztosítás, pénzügyek