是否使用已匿名化的数据或是否要将个人数据匿名化是有区别的。后者——匿名化——是根据 GDPR 进行的处理,需要事先采取以下步骤:
确定法律依据
履行对受影响者的信息义务
风险分析和数据保护影响评估
加密附录
在这种背景下,“加密”一词经常被提及。但它既不是匿 RCS 数据葡萄牙 名化,也不是假名化。相反,数据被转换成只有结合适当的密钥才能读取/理解的代码。然而,加密不会删除任何个人参考,因为密钥可以改变这一点。
数据保护实践的建议
根据 GDPR,匿名化被视为数据处理。作为目的的改变,只有满足 GDPR 第 6 (4) 条的要求才允许。否则,必须存在其他法律依据。如果计划对特殊类别的个人数据进行匿名化,则可能需要根据情况进行数据保护影响评估。
一旦个人数据达到了其目的,就必须被删除或存储适当的保留期。关于如何处理匿名化的更多规定,可参阅 BDSG 第 27 条和第 50 条。此外,在实施假名化时,应注意确保其与当前的“最先进技术”相对应。