Hajde da se pozabavimo pseudonimizacijom i anonimizacijom u Zakonu o zaštiti podataka o ličnosti (ZZPL) i Opštoj uredbi o zaštiti podataka o ličnosti (GDPR) i pojasnimo važnost ovih mera zaštite i kako one umanjuju rizike koje nosi obrada podataka o ličnosti.
Sadržaj/Table of Contents
- Kratak uvod – Podaci o ličnosti i identifikacija
- Pseudonimizacija i anonimizacija – ključne razlike
- Pseudonimizacija u ZZPL – Zlatna sredina mera zaštite
- Pseudonimizacija kao mera zaštite
- Kako se pseudonimizacija postiže
- Zlatna sredina mera zaštite
- Mogućnost pripisivanja – ključna osobina pseudonimizacije
- Slučaj SRB protiv EDPS-a (Predmet T-557/20) – element subjektivnosti u definisanju
- Pseudonimizovani podaci zadržavaju komercijalnu vrednost
- EDPB smernice i okvir “domena pseudonimizacije”
- Vrste pseudonimizacije (sa primerima)
- Anonimizacija – Izlazak iz regulatornog okvira ZZPL i GDPR
- Pseudonimizacija i anonimizacija su radnje obrade podataka o ličnosti
- Pravna praksa i test “motivisanog uljeza”
- Strateške koristi koje pseudonimizacija i anonimizacija donose organizacijama
- Zaključak – Pseudonimizacija i anonimizacija kao mere zaštite
Kratak uvod – Podaci o ličnosti i identifikacija
ZZPL definiše podatak o ličnosti kao svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv. U prevodu, ako se fizičko lice može identifikovati na osnovu nekog podatka, makar i posredno, taj se podatak smatra podatkom o ličnosti.
Ovako široka definicija podataka o ličnosti nije slučajna. U digitalnom okruženju lice se vrlo lako može izdvojiti i prepoznati na osnovu podataka koji se tradicionalno ne bi mogli vezati za ličnost fizičkih lica, poput IP adresa, podataka o lokaciji, detalja o uređaju koji se koristi za pristup i sličnih identifikatora čestih u elektronskim komunikacionim mrežama.
Bitno je naglasiti da većina tih podataka, sama po sebi, nije dovoljna da dovede do identifikacije fizičkog lica. Međutim, kada bi se ti podaci ukrstili s drugim podacima, utvrđivanje identiteta fizičkog lica bi postalo moguće, te se svaki od tih podataka zasebno smatra podatkom o ličnosti.
Pseudonimizacija i anonimizacija – ključne razlike
Najkraće rečeno, razlika između pseudonimizacije i anononimizacije se svodi na sledeće pitanje: da li se nakon primene mere može odrediti identitet lica na koje se podaci odnose?
Evo u čemu se ove dve mere razlikuju u smislu mogućnosti određivanja identiteta:
- Anonimizacija: podaci o ličnosti su obrađeni na takav način da identifikacija lica na koje se podaci odnose uz primenu razumnih mera više nije moguća
- Pseudonimizacija: podaci o ličnosti su obrađeni na način da se elementi koji omogućavaju neposrednu identifikaciju menjaju indirektnim identifikatorima (poput linija koda, tokena, i dr.), ali je identifikacija lica na koje se podaci odnose i dalje moguća, uz korišćenje dodatnih podataka.
U tom smislu, ako bi neko neovlašćeno došao u posed anonimizovanih podataka, uz primenu razumnih mera ne bi mogao da izvrši reidentifikaciju lica na koji se podaci odnose.
S druge strane, ako bi neko došao u posed pseudonimizovanih podataka, identifikacija bi bila moguća ako bi došao i do dodatnih podataka, odnosno “ključa” koji bi mu omogućio da “dešifruje” podatke i identifikuje lica na koje se podaci odnose. Iako su pseudonimizovani podaci bez ključa beskorisni za pripisivanje, činjenica da ih je uz kombinaciju s dodatnim podacima moguće “otključati” i otkriti identitet lica na koje se podaci odnose, pseudonimizovane podatke čini podacima o ličnosti.
Pseudonimizacija u ZZPL – Zlatna sredina mera zaštite
Zakon o zaštiti podataka o ličnosti u članu 4, koji nam govori šta pojedini izrazi u zakonu znače, definiše pseudonimizaciju na sledeći način:
“Pseudonimizacija” je obrada na način koji onemogućava pripisivanje podataka o ličnosti određenom licu bez korišćenja dodatnih podataka, pod uslovom da se ovi dodatni podaci čuvaju posebno i da su preduzete tehničke, organizacione i kadrovske mere koje obezbeđuju da se podatak o ličnosti ne može pripisati određenom ili odredivom licu.
Definicija ukazuje na bitne elemente pseudonimizacije:
- Onemogućava identifikaciju bez dodatnih podataka,
- Ti dodatni podaci se čuvaju odvojeno,
- Podrazumeva preduzimanje tehničkih, organizacionih i kadrovskih mera.
Pseudonimizacija kao mera zaštite
Pseudonimizacija se izričito pominje i u članu 42 ZZPL koji uređuje mere zaštite koje je rukovalac dužan da primeni prilikom određivanja načina i u toku obrade. Tu je pseudonimizacija podvedena pod tehničke, organizacione i kadrovske mere koje imaju za cilj obezbeđivanje delotvorne primene načela zaštite podataka o ličnosti, kao što je smanjenje broja podataka (minimizacija).
Pseudonimizacija se u ZZPL pominje i na nekoliko drugih mesta, poput:
- Obrada u druge svrhe, član 6: kod obrade u svrhe koja je različita od one za koju su podaci prikupljeni, rukovalac je dužan da uzme u obzir i primenu odgovarajućih mera zaštite, kao što su kriptozaštita i pseudonimizacija.
- Bezbednost obrade, član 50: pseudonimizacija i kriptozaštita su izričito navedene kao jedna od tehničkih, organizacionih i kadrovskih mera koje bi rukovalac i obrađivač trebalo da uzmu u obzir kako bi dostigli odgovarajući nivo bezbednosti u odnosu na rizik obrade.
- Kodeks postupanja, član 59: u članu koji definiše izradu kodeksa postupanja udruženja i drugih subjekata koji predstavljaju grupe rukovalaca ili obrađivača, pseudonimizacija je navedena kao jedna od stavki koje bi naročito trebalo da se uzmu u obzir prilikom izrade kodeksa.
- Arhiviranje u javnom interesu, naučno ili istorijsko istraživanje, statističke svrhe, član 92: pseudonimizacija se ponovo pominje kao jedna od mera poštovanja načela minimizacije podataka.
S obzirom da je domaći zakonodavac izbegao da pomene anonimizaciju, privacy by design i privacy by default, to što definiše pseudonimizaciju, i izričito je u tekstu zakona navodi na više mesta, govori da zakonodavac računa da je pseudonimizacija mera zaštite koju rukovaoci i obrađivači moraju da uzmu u obzir.
Kako se pseudonimizacija postiže
Smernice o pseudonimizaciji Evropskog odbora za zaštitu podataka (EDPB) broj 01/2025 navode da je potrebno sprovesti tri radnje kako bi se postigao efekat pseudonimizacije:
- Podaci o ličnosti moraju da se modifikuju ili transformišu u drugi oblik – ovo se najčešće radi tako što se deo podataka o ličnosti zameni sa jednm ili više pseudonima (otud termin pseudonimizacija), odnosno novih identifikatora koji mogu da budu pripisani licima na koje se podaci odnose samo uz korišćenje dodatnih podataka.
- Dodatni podaci koji su potrebni da bi se pseudonimizovani podaci pripisali određenom licu moraju da se drže odvojeno – ovi podaci omogućavaju pripisivanje pseudonimizovanih podataka odredivim ili određenim fizičkim licima i njihovo odvojeno držanje je ključ uspešnosti pseudonimizacije kao mere zaštite.
- Moraju da se primene odgovarajuće tehničke i organizacione mere kako bi se osiguralo da se pseudonimizovani podaci o ličnosti ne mogu neovlašćeno pripisati određenom ili odredivom licu – ovo se obično postiže ograničenjem pristupa kriptografskim ključevima, tabelama pseudonima i sličnim tehničkim sredstvima tj. dodatnim podacima koji omogućavaju pripisivanje tj. identifikaciju lica na koje se podaci odnose.
Zlatna sredina mera zaštite
Definisanje i izričito pominjanje pseudonimizacije u ZZPL nije slučajno – zakonodavac je verovatno smatrao da je ova mera zaštite primenjiva i u našim uslovima. Iako privacy by design/default, anonimizacija i kriptozaštita imaju svoje prednosti, primena ovih metoda nije uvek izvodljiva i često staje na put komercijalnim interesima kompanija. Pseudonimizacija u velikoj meri štiti bezbednost podataka koji i dalje zadržavaju svoju komercijalnu vrednost, što je čini dobrom opcijom za primenu u širem obimu.
Ako bi neko došao u posed pseudonimizovanih podataka, a ne i u posed dodatnih podataka koji bi omogućili identifikaciju lica na koje se podaci odnose, identitet tih lica bi ostao neotkriven. To ne znači da pseudonimizovani podaci nisu podaci o ličnosti, ali je obrada takvih podataka svakako bezbednija opcija od obrade klasičnih “sirovih” podataka o ličnosti.
Mogućnost pripisivanja – ključna osobina pseudonimizacije
Pseudonimizacija se često sprovodi na način koji omogućava brzo vraćanje podataka u originalnu formu, što u nekom trenutku može da omogući dalju obradu sirovih podataka o ličnosti.
Bitno je naglasiti da čak i kada su pseudonimizovani podaci u posedu jednog, a dodatni podaci potrebni da bi se izvršila identifikacija u posedu drugog lica, pseudonimizovani podaci se i dalje smatraju podacima o ličnosti jer je identifikacija i dalje moguća.
Slučaj SRB protiv EDPS-a (Predmet T-557/20) – element subjektivnosti u definisanju
Presuda Opšteg suda Evropske unije u predmetu Single Resolution Board – SRB protiv Evropskog nadzornika za zaštitu podataka (EDPS) izazvao je velike turbulencije u svetu zaštite podataka o ličnosti. Sud je zauzeo stanovište da nije dovoljno da identifikacija bude teoretski moguća, već je bitno da li rukovalac/obrađivač ima bilo kakav legalan/praktičan način da izvrši pripisivanje podataka licu na koje se odnose. U slučaju da nema načina da samostalno izvrši pripisivanje, ili dođe do dodatnih podataka koji su potrebni da bi se ono izvršilo sud je zauzeo stanovište da se ne radi o podacima o ličnosti.
Ovakav pravni presedan je u velikoj meri uticao i na predlog izmena paketa propisa koji uređuju moderne tehnologije, takozvani Digital Omnibus u kome je jedna od ključnih predloženih izmena GDPR bila upravo promena definicije podataka o ličnosti.
Predlog je potpuno relativizovao pojam podataka o ličnosti – podatkom o ličnosti bi se smatrao takvim samo ako se nalazi u rukama onoga ko može da ga pripiše licu na koje se odnosi. To bi značilo da se jedan isti podatak u istom lancu primalaca može i ne mora smatrati podatkom o ličnosti, u zavisnosti od toga da li primalac ima identifikacioni “ključ”.
Srećom, ovaj predlog izmene definicije pojma podatka o ličnosti naišao je na otpor regulatornih tela i šire javnosti, tako de je uklonjen iz daljeg razmatranja. Međutim, i daljle ostaje presuda u predmetu T-557/20 – SRB protiv EDPS-a, koja će sigurno imati uticaja na buduću sudsku praksu u oblasti zaštite podataka o ličnosti – ostaje da vidimo u kojoj meri.
Pseudonimizovani podaci zadržavaju komercijalnu vrednost
Iako se anonimizovani podaci više ne smatraju podacima o ličnosti, što isključuje primenu ZZPL i GDPR (o čemu će biti reči u nastavku teksta), ovaj vid “totalne” privatnosti je retko koristan privrednim subjektima koji podatke o ličnosti obrađuju s razlogom, odnosno u komercijalne svrhe.
Zato je pseudonimizacija neka vrsta zlatne sredine – ona umanjuje rizike kojenosi obrada sirovih podataka o ličnosti, a zadržava komercijalne benefite obrade i ostaje pod velom primene ZZPL i GDPR, čime i lica na koje se podaci odnose uživaju zaštitu i mogu da ostvare svoja prava.
EDPB smernice i okvir “domena pseudonimizacije”
Pomenute Smernice EDPB 01/2025 uvode pojam “domen pseudonimizacije” kao okvir koji umanjuje mogućnost da se pseudonimizovani podaci pripišu licima na koje se podaci odnose time što se sprečava upotreba dodatnih podataka koji omogućavaju pripisivanje.
Domen pseudonimizacije obuhvata obradu pseudonimizovanih podataka, ali takođe i osobe (npr. zaposlene kod rukovalaca i obrađivača), sisteme i okruženja u okviru kojih se pseudonimizovani podaci obrađuju, a sve kako bi se sprečilo neovlašćeno pripisivanje tj. atribucija.
Osnovni zahtev pseudonimizacije koji ZZPL i GDPR nalažu jeste da se dodatni podaci koji omogućavaju pripisivanje/atribuciju čuvaju odvojeno i zaštite odgovarajućim tehničkim i organizacionim merama. U tom smislu, efikasnost pseudonimizacije zavisi od toga da li akteri u okviru domena pseudonimizacije, uz sredstva koja su im razumno dostupna, mogu pristupiti dodatnim podacima i izvršiti pripisivanje.
Domen pseudonimizacije definiše krug aktera u okviru kog se uređuje i ograničava pristup pseudonimizovanim podacima i dodatnim podacima, odnosno određuje ko može, a ko ne može da ima pristup tim podacima, kao i pod kojim uslovima. Istovremeno, domen obuhvata i potencijalne neovlašćene aktere, poput sajber napadača ili zaposlenih koji deluju suprotno uputstvima, čije se mogućnosti i sredstva uzimaju u obzir prilikom procene rizika i dizajniranja tehničkih i organizacionih mera, a sve kako bi se sprečilo neovlašćeno pripisivanje podataka.
Smernice navode da domen ne mora nužno da obuhvati celu organizaciju rukovaoca, već može obuhvatati samo osobe koje obrađuju pseudonimizovane podatke, ali i informacije i sisteme kojima te osobe raspolažu. Istovremeno, dodatni podaci koji omogućavaju pripisivanje moraju ostati van domena kako bi se onemogućilo neovlašćeno pripisivanje podataka.
EDPB smernice dalje navode da su prilikom deljenja podataka sa obrađivačima ili drugim primaocima rukovaoci dužni da obezbede da pseudonimizovani podaci ostanu unutar definisanog domena i da se spreči njihovo neovlašćeno pripisivanje, a što može biti učinjeno kroz odgovarajuće ugovorne klauzule.
Vrste pseudonimizacije (sa primerima)
Pseudonimizacija ne uklanja mogućnost pripisivanja, tako da se pseudonimizovani podaci i dalje smatraju podacima o ličnosti. Evo koje su najčešće tehnike pseudonimizacije:
- Enkripcija – kod enkripcije se podaci šifruju i mogu da se vrate u originalni oblik samo uz odgovarajući kriptografski ključ. Ukoliko bi podaci bili presretnuti, praktično je neizvodljivo dešifrovati ih bez ključa.
- Hash funkcije – originalne vrednosti podataka se pretvaraju u hash funkciju koja predstavlja fiksni niz karaktera u kome isti ulaz daje uvek isti izlaz. Primera radi, email adresa pera@perapera.com može se pretvoriti u hash poput X7A91K…, pri čemu isti email uvek daje isti hash, ali se iz hasha ne može direktno dobiti originalna vrednost, t.j email adresa.
- Salt hash – pre hešovanja dodaje se slučajni podatak (salt), čime se eventualno pogađanje hash-a značajno otežava.
- Keyed-hash – hash sa tajnim ključem je sigurnija varijanta jer pristup ključu ima samo organizacija koja primenjuje hešovanje. Bez tog ključa napadačuje praktično nemoguće da rekonstruiše hešovane podatke.
- Tokenizacija – originalne vrednosti podataka se zamenjuju nasumičnim identifikatorima. Na primer, umesto broja kreditne kartice koji ima određene pravilnosti, dodeljuje se nasumični token poput A1B3C45.
Bitno je naglasiti da ove metode pseudonimizacije smanjuju direktnu vezu sa identitetom, ali se lica na koja se podaci odnose i dalje mogu:
- Izdvojiti iz grupe jer često imaju jedinstveni pseudonim,
- Povezati kroz različite skupove podataka,
- Identifikovati kombinovanjem sa drugim informacijama
S obzirom da se do lica na koje se podaci odnose može i dalje doći (što je upravo jedan od razloga komercijalne upotrebljivosti), pseudonimizovani podaci se i dalje smatraju podacima o ličnosti.
Anonimizacija – Izlazak iz regulatornog okvira ZZPL i GDPR
Za razliku od pseudonimizovanih podataka, anonimizovani podaci nisu podaci o ličnost.
Anonimizacija je postupak kojim se trajno onemogućava identifikacija fizičkih lica. Nakon uspešno sprovedenog postupka anonimizacije identitet fizičkog lica više nije odrediv, čak ni uz ukrštanje anonimizovanog podatka s drugim podacima. Za razliku od pseudonimizacije, kod anonimizacije nema “ključa” koji će omogućiti da rukovalac/obrađivač identifikuje lice na koje se podaci odnose.
Zbog činjenice da nisu podaci o ličnosti, na anonimizovane podatke se ne primenjuju odredbe ZZPL i GDPR.
Iako se anonimizacija ne pominje u ZZPL,uvodnna izjava br. 26 GDPR jasno navodi da se GDPR neće primenjivati na anonimizovane podatke:
Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi.
Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe.
Iako je veći deo teksta ZZPL preuzet iz GDPR, uvodne odredbe su nažalost izostale. Međutim, uvodne odredbe GDPR nam mogu pomoći da rastumačimo i ZZPL, što je ovde i slučaj.
Ukratko, anonimizacija je proces nepovratnog uklanjanja veze između podatka i fizičkog lica na koje se on odnosi. Nakon što je sprovedena, informacija više ne može postati podatak o ličnosti, čime se isključuju dalje obaveze usklađivanja sa ZZPL i GDPR.
Nikad ne reci nikad
Iako je suština anonimizacije da se trajno raskine veza između fizičkog lica i podatka, nemogućnost identifikacije ipak nije apsolutna.
Citirana uvodna izjava br. 26 GDPR navodi i sledeće:
Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca.
U hrvatskom prevodu GDPR fraza “reasonably likely to be used” prevedana je kao “po svemu sudeći upotrebiti” ali bi isto moglo da se prevede i kao “sva razumno dostupna sredstva koja rukovalac ili treća osoba može upotrebiti u svrhu neposrednog ili posrednog utvrđivanja identiteta lica”.
Mišljenje 05/2014 Radne grupe 29 – anonimizacija i mogućnost pripisivanja
Mišljenje 05/2014 Radne grupe 29 bavi se tehnikama anonimizacije, ali se dotiče i samog pojma i mogućnosti identifikacije. Radna grupa 29 pojašnjav šta je razumno za očekivati da će se koristiti u svrhu reidentifikacije, a posebna pažnja se pridaje stanju savremene tehnologije u trenutku anonimizacije, ali takođe i troškovima eventualne reidentifikacije kao i dostupnom know how.
Ako bi reidentifikacija bila moguća nakon “razumne” količine truda, korišćenjem sredstava za koje bi bilo očigledno da bi ih treća lica “po svemu sudeći” upotrebila, onda su podaci obrađeni na takav način i dalje podaci o ličnosti.
Međutim, ako bi reidentifikacija zahtevala nesrazmeran trud i korišćenje sredstava za koje bi bilo očigledno da u trenutku anonimizacije nije bilo za očekivati da bi ih treća lica po svemu sudeći upotrebila, čak i kada bi reidentifikacijakasnije bila moguća, smatralo bi se da su rukovalac i obrađivač ipak izvršili anonimizaciju na savestan način.
Naravno, ovakvog primera nema u praksi, ali je zamislivo da napredak tehnologije (AI, kvantni računari) u budućnosti omogući reidentifikaciju na načine koji su u ovom trenutku nepredvidivi. Bilo bi nepošteno očekivati od rukovalaca i obrađivača da predvide stvari koje ne postoje u momentu primene mera zaštite, ako će ikada i postojati.
Međutim, Radna grupa 29 navodi da anonimizacija nije jednokratni (“release and forget”) postupak, već da anonimizovani podaci zahtevaju ponovne procene preostalih rizika koje bi trebalo da se ponavljaju nakon određenog perioda. Primera radi, svesni smo napretka AI tehnologija – ako je neki rukovalac anonimizovao podatke pre pojave LLM, savesno bi bilo da proveri da li je takva anonimizacija i dalje validna s obzirom da su ovakvi alati dostupni široj populaciji, a samim tim i malicioznim akterima.
Vrste anonimizacije (sa primerima)
Mišljenje 05/2014 Radne grupe 29 razlikuje dve glavne grupe tehnika anonimizacije, randomizaciju i generalizaciju.
Vrste randomizacije
Randomizacijom se menja sama vrednost podatka kako bi se oslabila veza sa licem na koje se podatak odnosio. Najčešći oblici randomizacije su:
- Dodavanje šuma (noise addition) – vrednosti se blago menjaju, čime se čuva statistička korisnost, ali smanjuje preciznost. Na primer, umesto da se telesna masa svake osobe izrazi tačno u kilogram, vrednost se nasumično menja (npr. + ili – nekoliko kilograma). Time podaci i dalje imaju istraživačkog i statističkog značaja, ali je manje verovatno izolovati pojedinca, pogotovo kod velikih skupova podataka.
- Permutacija – vrednosti se mešaju između lica na koje se podaci odnose, tako da više ne odgovaraju licima na koje su se inicijalno odnosili. Na primer, u okviru istog skupa koji sadrži plate zaposlenih, iznosi zarada se izmešaju, tako da više ne odgovaraju stvarnoj osobi. Na taj način će u skupu i dalje biti isti broj i isti iznosi zarada, što je statistički značajno, ali neće moći da se poveže koje lice ima koju zaradu.
- Diferencijalna privatnost – umesto objavljivanja celog skupa podataka, neki odgovori na upite se maskiraju dodavanjem kontrolisanog šuma koji značajno otežava rekonstruisanje identiteta lica koje je dalo konkretan odgovor. Ovo se može koristiti u praćenju korišćenja aplikacija gde bi, na primer, developeri mogli da vide koji emoji je popularan, ali im dodati šum značajno otežava pripisivanje emoji-a licu koje ga je koristilo, čime bi se taj pojedinac izdvojio iz grupe.
Iako randomizacija smanjuje mogućnost pripisivanja podataka, ako nije adekvatno sprovedena, ili ako uzorak nije dovoljno veliki, nekada može doći do izdvajanja pojedinca iz grupe.
Vrste generalizacije
Generalizacija menja nivo detalja podataka čime efektivno “utapa” pojedinca u veću grupu. Ovo su neki od oblika:
- Agregacija i k-anonimnost – podaci se grupišu na način da svaka osoba deli iste karakteristike sa najmanje k brojem drugih ljudi (na primer, stavlja se godina rođenja umesto tačnog datuma).
- L-diverzitet – ako uzmemo primer grupe pacijenata koji su svi muškog pola i iz Beograda, l-diverzitet bi se postigao kada bi u grupi postojalo više različitih dijagnoza. Na taj način, čak i da znamo da je neka osoba u grupi, ne bi bilo moguće da se prepozna koja joj je dijagnoza. S druge strane, kada bismo znali da osoba pripada grupi, a da svi pacijenti u grupi imaju npr. upalu sinusa, znali bismo i da ta osoba boluje od iste bolesti, čime bismo otkrili podatak o ličnosti.
- T-bliskost – raspodela podataka u grupi mora biti dovoljno slična raspodeli u celoj populaciji, uz dozvoljeno odstupanje “t”. Na primer, ako u celoj državi 1% ljudi ima HIV, u bazi medicinskih podataka procenat pacijenata koji ima HIV takođe mora da bude 1% uz maksimalno odstupanje za broj t. Na taj način, saznanje da je 1% pacijenata u našoj grupi zaraženo HIV ne znači ništa, jer je takav procenat i u opštoj populaciji.
Pseudonimizacija i anonimizacija su radnje obrade podataka o ličnosti
Bitno je da se naglasi da su pseudonimizacija i anonimizacija vrsta radnji obrade podataka o ličnosti i spadaju u obradu koja ima različitu svrhu od one za koju su podaci prikupljeni.
Na primer, pri potpisivanju ugovora s mobilnim operaterom, lica na koje se podaci odnose ne dele podatke da bi oni kasnije bili anonimizovani, već da bi dobila pristup broju telefona, uređaju, itd.
Ako nije prikupio pristanak lica na koje se podaci odnose da vrši obradu u nove svrhe, rukovalac mora da ima neki od drugih osnova za dalju obradu, kako bi ona bila zakonita. To je najčešće legitimni interes, ali mogu biti i direktne zakonske obaveze.
Na primer, ZZPL i GDPR predviđaju načelo ograničenja čuvanja podataka o ličnosti koje nalaže da se oni mogu čuvati u obliku koji omogućava identifikaciju lica samo u roku koji je neophodan za ostvarivanje svrhe obrade. Drugim rečima, rukovaoci i obrađivači su u obavezi da onemoguće identifikaciju nakon isteka roka čuvanja, a anonimizacija bi bila jedna od tehnika kojom se to može postići, npr. ako brisanje podataka nije izvodljivo.
S obzirom da anonimizacija i pseudonimizacija spadaju u radnje obrade podataka o ličnosti, neophodno je da zadovolje zakonske uslove, a pogotovo one koji se tiču načela obrade podataka o ličnosti (Član 5 ZZPL) kao i da ispune neki od uslova zakonitosti obrade (Član 12 ZZPL).
Nakon uspešnog sprovođenja postupka pseudonimizacije pseudonimizovani podaci ostaju podaci o ličnosti. Rukovaoci i obrađivači koji su sproveli postupak i dalje moraju da vode računa o održavanju odgovarajućih tehničkih i organizacionih mera, kao i da omoguće da lica na koje se podaci odnose mogu da ostvare prava definisana u ZZPL, osim ako se radi o slučajevima obrade koja ne zahteva identifikaciju.
Situacija s anonimizacijom je drugačija – nakon adekvatno sprovedenog postupka, anonimizovani podaci se više ne smatraju podacima o ličnosti i izlaze iz sfere primene ZZPL i GDPR.
Pravna praksa i test “motivisanog uljeza”
Nedavna odluka broj 498628 francuskog Državnog saveta (Conseil d’État, najviša instanca upravnog suda) iz februara 2026. godine oslikava zašto se pseudonimizovani podaci i dalje smatraju podacima o ličnosti.
U konkretnom slučaju sud je analizirao baze zdravstvenih podataka koje su sadržale informacije o zdravstvenom stanju i terapiji pacijenata, delimično pseudonimizovane korišćenjem određenih kodova umesto imena, ali uz prisustvo brojnih indirektnih identifikatora koji bi mogli da budu iskorišćeni da se podaci pripišu licima na koje se odnose. Kompanije-rukovaoci tvrdile su da se radi o podacima koji ne mogu predstavljati podatke o ličnosti, s obzirom da u bazi podataka nije bilo direktnih indikatora koji bi mogli da otkriju identitet lica.
Ključan stav suda bio je da se takvi podaci i dalje smatraju podacima o ličnosti jer postoji realna mogućnost pripisivanja i ponovne identifikacije uz upotrebu razumno dostupnih sredstava. Sud je svoju odluku bazirao na standardu GDPR koji navodi da se mora uzeti u obzir sve što je “razumno verovatno” da će biti korišćeno za identifikaciju, ali i neophodne troškove i vreme potrebno da se izvrši identifikacija, kao i dostupnu tehnologiju.
Iako su imena bila zamenjena kodovima, baza podataka je i dalje sadržala podatke poput starosti i pola pacijenata, datume i vremena kupovine lekova, kao i detaljne zdravstene podatke (dijagnoze, terapije, i dr.) koji spadaju u posebne vrste podataka o ličnosti. Sud je naglasio da se kombinacijom određenih informacija (npr. retka bolest + lokacija i vreme pregleda + lekar koji je izvršio pregled) može identifikovati pacijent, čak i bez korišćenja direktnih indikatora. Usled ove činjenice, uz korišćenje standardnih alata poput spreadsheet softvera i javno dostupnih registara zdravstvenih radnika, relativno lako je moguće kombinovati podatke iz baze i rekonstruisati identitet pojedinaca, ili ih barem “izdvojiti” iz mase.
Iako su rukovaoci tvrdili suprotno, sud je zaključio da je u pitanju pseudonimizacija, te da se na takve podatke i dalje primenjuju odredbe GDPR. Dodatno, pseudonimizacija imena nije bila dovoljna da eliminiše rizik reidentifikacije, jer je i dalje bilo moguće pripisati podatke licima na koje se odnose, čak i bez direktnih indikatora.
Na kraju, sud je naglasio da nije od značaja da li rukovalac faktički vrši pripisivanje, već je ključno da li je identifikacija objektivno moguća uz korišćenje razumnih sredstava, uključujući javno dostupne izvore podataka.
Navedeni slučaj pokazuje da regulatori znaju razliku anonimizacije i pseudonimizacije, kao i da se ove mere moraju sprovoditi na način koji će zaista postići svrhu njihove primene. Bez toga, “pokušaji” pseudonimizacije ili anonimizacije su samo dodatni trošak kojim se ništa ne postiže, kako se pokazalo i u ovom slučaju – sud je potvrdio prvostepene odluke i izrečene novčane kazne.
Strateške koristi koje pseudonimizacija i anonimizacija donose organizacijama
Navedeni slučaj neadekvatno sprovedene pseudonimizacije ne znači da je ona samo nepotreban trošak, naprotiv. Uspešna primena pseudonimizacije i anonimizacije može doneti brojne strateške koristi kompanijama.
Ključne koristi pseudonimizacije
Sledi pregled glavnih benefita pseudonimizacije koje navode Smernice EDPB 01/2025:
- Smanjenje bezbednosnih rizika po lica na koje se podaci odnose – pseudonimizacija ublažava rizike i posledice eventualne povrede podataka o ličnosti, poput “curenja” podataka i neovlašćenog pristupa. Sami pseudonimizovani podaci su beskorisni ukoliko napadač ne poseduje i dodatne podatke, tj. “ključ” na osnovu koga će izvršiti pripisivanje. Iz tog razloga je bitno da se dodatni podaci čuvaju odvojeno.
- Povećanje tačnosti prilikom obrade – tačnost je jedno od načela ZZPL, a pseudonimizacija smanjuje broj grešaka pri obradi. Korišćenjem specifičnih pseudonima za osobe koje imaju slične podatke o ličnosti (primera radi Ivan Ivanović i Ivana Ivanović će često biti permutovani) smanjuje se rizik da se podaci pogrešno pripišu.
- Prepreka neovlašćenoj obradi – ako je domen pseudonimizacije adekvatno uspostavljen, osobe koje imaju pristup pseudonimizovanim podacima neće moći da ih neovlašćeno koriste u druge svrhe. Čak i da neko unutar domena želi da iskoristi podatke na neodobren način, biće tehnički onemogućen jer ne poseduje dodatne podatke tj. ključ za identifikaciju.
- Pravna sigurnost obrade – pseudonimizacija omogućava da se podaci pripišu u strogo definisanim slučajevima i to samo u potrebnoj meri, dok ostatak baze podataka ostaje pseudonimizovan i samim tim zaštićen. Na ta način rukovalac može da predoči da zaista primenjuje tehničke, organizacione i bezbednosne mere, u skladu sa načelom odgovornosti za postupanje ZZPL.
Ključne koristi anonimizacije
Anonimizacija ide korak dalje od pseudonimizacije. Prema ICO smernicama za anonimizaciju (Information Commissioner’s Office britansko regulatorno telo nadležno za zaštitu podataka o ličnosti), glavni benefit je to što efikasno anonimizovani podaci prestaju da budu podaci o ličnosti, čime prestaje i primena ZZPL i GDPR na njihovu dalju upotrebu. Sledi detaljnije:
- Pravna sloboda i izlazak iz okvira ZZPL i GDPR– pošto anonimizovani podaci više ne potpadaju pod ZZPL/GDPR, organizacija ih može čuvati neograničeno, što anonimizaciju čini idealnom alternativom brisanju podataka, koja nije uvek poželjna iz, a često je i nemoguća.
- Umanjenje bezbednosnih rizika – s obzirom da kod anonimizacije ne postojii “ključ” za dešifrovanje, ni najgori sajber napadi, curenja podataka i unutrašnje zloupotrebe ne mogu izložiti rizicima lica na koje su se podaci odnosili. Naravno, ostaje obaveza da rukovaoci i obrađivači sporadično proveravaju da li najnovije tehnologije i javno dostupni podaci mogu da povežu anonimizovane podatke sa licima na koja su se odnosili, ali je to malo verovatno.
- Podrška inovacijama i razvoju AI– treniranje modela veštačke inteligencije i mašinsko učenje zahtevaju podatke, ali ne nužno i podatke o ličnosti, pošto su ovim modelima bitniji obrasci i trendovi. Anonimizacija upravo to omogućava – razvoj modernih rešenja bez stalnih traženja novih pristanaka od lica na koje se podaci odnose i rizika i pravnih začkoljica koje nosi eventualna obrada u druge svrhe.
Zaključak – Pseudonimizacija i anonimizacija kao mere zaštite
Nadam se da je ovaj članak bar malo pojasnio razliku pseudonimizacije i anonimizacije i njihov tretman u ZZPL i GDPR.
Ukratko, suštinska razlika je u činjenici da su pseudonimizovani podaci podaci o ličnosti, jer je njihovo pripisivanje i dalje izvodljivo, dok anonimizovani podaci izlaze iz sfere primene Zakona o zaštiti podataka o ličnosti i Opšte uredbe o zaštiti podataka o ličnosti.
Naravno, malo je verovatno da će rukovaoci biti u mogućnosti da biraju između pseudonimizacije i anonimizacije, s obzirom da ove mere zaštite retko mogu da se primene u istim situacijama.
Ono što je bitno jeste da pseudonimizacija i anonimizacija nisu samo lepa high tech opcija, već i zakonski utemeljena očekivanja o kojima regulatori vode računa i koja suštinski unapređuju bezbednost i smanjuju rizike koje obrada podataka o ličnosti nosi, pogotovo u slučaju eventualnih povreda, kakvih je u prethodnom periodu bilo previše.