Τι είναι ψευδωνυμοποίηση; Νομική Ανάλυση και Πρακτικές Εφαρμογές

1.Εισαγωγή

Η έννοια της ψευδωνυμοποίησης (pseudonymisation) αποτελεί ένα από τα πιο συζητημένα και παρερμηνευμένα εργαλεία προστασίας προσωπικών δεδομένων. Αν και συχνά συγχέεται με την ανωνυμοποίηση, στην πραγματικότητα πρόκειται για τεχνική που, ενώ μειώνει τον κίνδυνο ταυτοποίησης, δεν εξαιρεί τα δεδομένα από την εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων (Κανονισμός ΕΕ 2016/679 – εφεξής «ΓΚΠΔ»).

Στο παρόν άρθρο, εξετάζονται:

• ο νομικός ορισμός και η λειτουργική ταυτότητα της ψευδωνυμοποίησης,
• οι τεχνικές και οργανωτικές διαστάσεις της εφαρμογής της,
• η πρακτική της σημασία σε διάφορους τομείς (δημόσιο και ιδιωτικό) καθώς και
• η προσέγγιση του Δικαστηρίου της Ευρωπαϊκής Ένωσης.

Η ανάλυση βασίζεται κυρίως στις Κατευθυντήριες Γραμμές 01/2025 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (εφεξής «ΕΣΠΔ»), αλλά και σε σχετικές αποφάσεις-ορόσημα του ΔΕΕ, επιδιώκοντας να προσφέρει ένα κριτικό εργαλείο για νομικούς και επαγγελματίες του χώρου της συμμόρφωσης.

2.Νομικός Ορισμός και Θεμελιώδη Χαρακτηριστικά

2.1.Ορισμός κατά τον ΓΚΠΔ

Σύμφωνα με το άρθρο 4 στοιχ. 5’ ΓΚΠΔ, η ψευδωνυμοποίηση συνίσταται στην «επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο». Πρόκειται, συνεπώς, για μέτρο προστασίας και περιορισμού του κινδύνου, όχι για όμως για μέθοδο η ανωνυμοποίησης μιας πληροφορίας[1].

2.2.Νομική Διάσταση

Η ψευδωνυμοποίηση:

• Δεν εξαιρεί τα δεδομένα από το πεδίο εφαρμογής του ΓΚΠΔ. Τα ψευδωνμοποιημένα δεδομένα κατ’ αρχήν συνιστούν προσωπικά δεδομένα.
• Αναγνωρίζεται ως κατάλληλο μέτρο στο πλαίσιο εφαρμογής των άρθρων 25 (προστασία δεδομένων εξ’ ορισμού και από τον σχεδιασμό), 32 (ασφάλεια επεξεργασίας), αλλά και ως ενισχυτικός παράγοντας στην αξιολόγηση νομιμότητας κατά το άρθρο 6 παρ. 1 στοιχ. στ’ ΓΚΠΔ (έννομο συμφέρον), 6 παρ. 4 (προϋποθέσεις εξαίρεσης της Αρχής του σκοπου) και το άρθρο 9 παρ. 2 περ. ι’ ΓΚΠΔ (δραστηριότητες επεξεργασίας για αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς).

3.Δομικά Στοιχεία Εφαρμογής

3.1.Τεχνικά Μέτρα

Το ΕΣΠΔ στις Κατευθυντήριες Γραμμές 01/2025 εντοπίζει δύο βασικές κατηγορίες:

• Κρυπτογράφηση (π.χ. HMACs, Argon2).
• Πίνακες αντιστοίχισης (lookup tables) με μοναδικούς ψευδωνύμους.

Η επιλογή τεχνικής εξαρτάται από τον σκοπό, το αναμενόμενο επίπεδο κινδύνου, και τον ορισμό του «τομέα ψευδωνυμοποίησης» (pseudonymisation domain), δηλαδή του πλαισίου όπου απαγορεύεται η απόδοση δεδομένων σε ταυτότητες.

3.2.Οργανωτικά Μέτρα

Απαιτείται διαχωρισμός προσβάσεων, περιορισμένη χρήση πρόσθετων πληροφοριών, και αυστηρός έλεγχος εξουσιοδοτήσεων. Η ύπαρξη διαδικασιών αντιστροφής της ψευδωνυμοποίησης θα πρέπει να περιορίζεται σε ειδικές περιπτώσεις, με αυστηρά πρωτόκολλα.

4.Νομολογιακή Προσέγγιση

Μια σημαντική εξέλιξη αναφορικά με την ψευδωνυμοποίηση καταγράφεται στην υπόθεση T‑557/20 και την επακόλουθη αίτηση αναιρέσεως της, C‑413/23 P. Το ζήτημα αφορούσε τη νομική φύση των ψευδωνυμοποιημένων δεδομένων που διαβιβάστηκαν από το Ενιαίο Συμβούλιο Εξυγίανσης (ΕΣΕ) στη Deloitte, και ιδίως εάν αυτά συνιστούσαν προσωπικά δεδομένα κατά την έννοια του Κανονισμού (ΕΕ) 2018/1725 (EUDPR).

4.1.Ιστορικό Υπόθεσης T-557/20

Στο πλαίσιο της τραπεζικής εξυγίανσης της Banco Popular Español, το SRB ξεκίνησε διαδικασία αποζημίωσης για τους μετόχους και πιστωτές. Κατά τη σχετική φάση διαβούλευσης, συλλέχθηκαν ψευδωνυμοποιημένα δεδομένα, τα οποία διαβιβάστηκαν στην Deloitte για σκοπούς επεξεργασίας. Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (εφεξής «ΕΕΠΔ» ή «EDPS») θεώρησε ότι υπήρξε παραβίαση της υποχρέωσης ενημέρωσης, επειδή οι θιγόμενοι δεν είχαν ενημερωθεί για την Deloitte ως αποδέκτη δεδομένων.

Το Γενικό Δικαστήριο, ωστόσο, ακύρωσε την απόφαση του ΕΕΠΔ, κρίνοντας ότι αυτός δεν εξέτασε επαρκώς αν, από την οπτική της Deloitte, οι εν λόγω πληροφορίες συνιστούσαν δεδομένα προσωπικού χαρακτήρα. Υπογράμμισε την ανάγκη να ληφθεί υπόψη αν ο αποδέκτης μπορεί πράγματι να επαναταυτοποιήσει το υποκείμενο των δεδομένων, ώστε να ορίζεται η ψευδωνυμοποιημένη πληροφορία, ως προσωπικό δεδομένο.

4.2.Αίτηση αναίρεσης από τον EDPS - Θέση του Γενικού Εισαγγελέα Spielmann

Επί της αναιρέσεως που άσκησε ο ΕΕΠΔ, στις 5/7/2023, ο Γενικός Εισαγγελέας του ΔΕΕ, με τις προτάσεις του στις 6 Φεβρουαρίου 2025, υποστήριξε ότι το Γενικό Δικαστήριο σωστά έκρινε ότι δεν αρκεί μια γενική και αόριστη σύνδεση της πληροφορίας με φυσικό πρόσωπο. Αντιθέτως, πρέπει να εξετάζεται το περιεχόμενο, ο σκοπός και το αποτέλεσμα της πληροφορίας, όπως και η δυνατότητα επαναταυτοποίησης από τον αποδέκτη, του προσώπου στο οποίο αναφέρεται η πληροφορία.

Ο Γενικός Εισαγγελέας υποστήριξε ότι η ψευδωνυμοποίηση από μόνη της δεν αρκεί για να χαρακτηριστούν μια λπηροφορία ως «προσωπικά δεδομένα» από την στιγμή που «ο κίνδυνος ταυτοποίησης είναι ανύπαρκτος ή αμελητέος».

4.3.Σημασία για την Πράξη

Η προσέγγιση αυτή ενισχύει μια περισσότερο ad hoc προσέγγιση στην έννοια των προσωπικών δεδομένων. Εάν υιοθετηθεί από το ΔΕΕ, θα ενισχύσει τη χρήση της ψευδωνυμοποίησης ως μέσο περιορισμού νομικών υποχρεώσεων όταν ο αποδέκτης των δεδομένων δεν έχει πρόσβαση στα συμπληρωματικά στοιχεία.

Η υπόθεση αυτή αν και ερμηνεύει κυρίως το άρθρο 3 του Κανονισμού (ΕΕ) 2018/1725 (EUDPR), επί της ουσίας επηρεάζει ευρύτερα την εφαρμογή του άρθρου 4 στοιχ. 1’ του ΓΚΠΔ.

5.Ενδεικτικά Παραδείγματα

5.1.Εσωτερική Στατιστική Ανάλυση

Μια εταιρεία που διαχειρίζεται ιατρικά δεδομένα θέλει να κάνει εσωτερική στατιστική ανάλυση, π.χ. να δει ποια θεραπεία είναι πιο αποτελεσματική. Αντί να χρησιμοποιήσει τα ονόματα των ασθενών, αντικαθιστά τα στοιχεία τους με ψευδώνυμα. Έτσι, όσοι αναλύουν τα δεδομένα δεν ξέρουν σε ποιον ανήκουν.

5.2.Διαβίβαση σε Εξωτερικούς Συνεργάτες

Μια επιχείρηση θέλει να συνεργαστεί με πανεπιστήμιο. Πριν στείλει τα δεδομένα των πελατών της, τα ψευδωνυμοποιεί: αντί για ονόματα και στοιχεία επικοινωνίας, κάθε πελάτης έχει έναν κωδικό. Το πανεπιστήμιο δεν μπορεί να καταλάβει ποιος είναι ποιος, αλλά μπορεί να μελετήσει τις αγοραστικές συνήθειες.

5.3.Επιστημονική Έρευνα

Ένα πανεπιστήμιο συλλέγει πληροφορίες από φοιτητές για να κάνει έρευνα π.χ. στις κοινωνικές συνήθειες. Οι φοιτητές δεν κατονομάζονται· τα ονόματά τους έχουν αντικατασταθεί από ψευδώνυμα. Έτσι προστατεύεται η ιδιωτικότητά τους, ενώ η έρευνα προχωρά κανονικά.

5.4. Διεθνείς Διαβίβαση

Μια εταιρεία στέλνει δεδομένα σε συνεργάτη που βρίσκεται εκτός ΕΟΧ. Για να προστατεύσει την ιδιωτικότητα των ατόμων, τα δεδομένα αποστέλλονται ψευδωνυμοποιημένα: ο συνεργάτης βλέπει μόνο αριθμούς και όχι ονόματα ή προσωπικά στοιχεία. Τα στοιχεία που συνδέουν τα δεδομένα με τα πρόσωπα παραμένουν στην Ευρώπη.

6.Πρακτική Εφαρμογή στον Δημόσιο Τομέα

6.1.Δημόσια Υγεία – Επιδημιολογική Έρευνα

Υπηρεσίες δημόσιας υγείας, όπως ο ΕΟΔΥ, συλλέγουν δεδομένα για να παρακολουθήσουν πώς εξαπλώνεται μια ασθένεια. Πριν δοθούν σε επιστήμονες για ανάλυση, αφαιρούνται τα ονόματα ή άλλα στοιχεία ταυτότητας και αντικαθίστανται με ψευδώνυμα (π.χ. "Ασθενής Α1"). Έτσι, οι ειδικοί μελετούν τα δεδομένα χωρίς να ξέρουν σε ποιον ανήκουν.

6.2.Κοινωνική Πολιτική – Σύνδεση Δεδομένων από ΔΥΠΑ, ΕΦΚΑ, Υπ. Εργασίας

Το Υπουργείο Εργασίας θέλει να καταλάβει ποιοι και πώς χρησιμοποιούν επιδόματα ή άλλες κοινωνικές παροχές. Αντί να χρησιμοποιούνται τα ονόματα των πολιτών, κάθε πολίτης έχει έναν προσωπικό αριθμό. Έτσι, μπορούν να εντοπιστούν τάσεις και ανάγκες, χωρίς να αποκαλύπτεται η ταυτότητα κανενός.

6.3.Εκπαιδευτική Ανάλυση – Δεδομένα Μαθητών

Το Υπουργείο Παιδείας συλλέγει δεδομένα από σχολεία, όπως βαθμολογίες ή συμμετοχή σε προγράμματα υποστήριξης. Για να προστατεύσει τα προσωπικά δεδομένα των μαθητών, αντικαθιστά τα ονόματά τους με ψευδώνυμα. Έτσι, μπορεί να αξιολογήσει π.χ. αν τα προγράμματα βοήθειας είναι αποτελεσματικά, χωρίς να φαίνεται ποιο παιδί συμμετείχε.

7.Συμπεράσματα

Η ψευδωνυμοποίηση αναδεικνύεται σε κρίσιμο εργαλείο εντός του Ενωσιακού κανονιστικού πλαισίου προστασίας δεδομένων. Η αξία της δεν περιορίζεται μόνο στη μείωση κινδύνων ή την ενίσχυση της ασφάλειας, αλλά εκτείνεται και στη συμμόρφωση με αρχές όπως η ελαχιστοποίηση, η διαφάνεια και η λογοδοσία. Η τεχνική της ψευδωνυμοποίησης προσφέρει πρακτικές λύσεις σε σύνθετα νομικά ζητήματα, επιτρέποντας την επεξεργασία δεδομένων σε περιβάλλοντα υψηλής ευαισθησίας χωρίς να θίγονται αδικαιολόγητα τα δικαιώματα των υποκειμένων.

Η πρόσφατη νομολογία του ΔΕΕ και οι θέσεις των Γενικών Εισαγγελέων καταδεικνύουν τη μετάβαση σε μία περισσότερο ad hoc ερμηνεία της έννοιας των προσωπικών δεδομένων, όπου το πλαίσιο του αποδέκτη καθίσταται κρίσιμος παράγοντας για την εκτίμηση του εάν μία πληροφορία μπορεί να οδηγήσει σε ταυτοποίηση. Αυτή η προσέγγιση ενισχύει την ασφάλεια δικαίου και προσφέρει ένα ρεαλιστικό εργαλείο σε διαχειριστές δεδομένων και υπευθύνους επεξεργασίας, ιδίως σε περιβάλλοντα με διαβαθμισμένη πρόσβαση ή διαβιβάσεις μεταξύ οργανισμών.

Η ορθή εφαρμογή της ψευδωνυμοποίησης απαιτεί συνδυασμό τεχνικών και οργανωτικών μέτρων, συνοδευόμενων από επαρκή τεκμηρίωση και λογοδοσία. Δεν αποτελεί πανάκεια, αλλά, όταν εφαρμόζεται σωστά, δύναται να προσφέρει ουσιαστικά πλεονεκτήματα τόσο ως προς τη συμμόρφωση όσο και ως προς την επιχειρησιακή αξιοποίηση δεδομένων.

Σε ένα τοπίο όπου η προστασία των προσωπικών δεδομένων συνδυάζεται με την ανάγκη ανάλυσης και διαμοιρασμού πληροφορίας, η ψευδωνυμοποίηση αποτελεί ένα από τα πλέον υποσχόμενα εργαλεία της «τεχνολογίας συμμόρφωσης» της εποχής μας.

[1] Αιτ. σκέψη 26