НачалоПубликацииEDPB насоки — анонимизация и псевдонимизация

Анонимизация и псевдонимизация на лични данни — EDPB насоки и практическо прилагане (2026)

Публикувано: 11 април 2026 | Последна актуализация: 11 април 2026

Анонимизацията и псевдонимизацията са централни технически и организационни мерки по GDPR. Новите насоки на Европейския комитет по защита на данните (EDPB) уточняват кога данните са наистина „анонимни“ и кога остават в обхвата на регламента. Специализираната ни практика за защита на данните е на gdprbg.com.

Правна рамка

GDPR не дефинира изрично „анонимизация“ в оперативен текст. Ключов е Recital 26, според който „личните данни, които не отнасят до идентифицирано или идентифицируемо физическо лице, или до данни, направени анонимни по такъв начин, че субектът на данните не е или вече не е идентифицируем, не попадат в обхвата на регламента“. С други думи, истинската анонимизация изважда данните извън обхвата на GDPR, докато всичко „междинно“ остава лични данни.

Псевдонимизацията е дефинирана в чл. 4(5) GDPR като „обработването на личните данни по такъв начин, че данните вече не могат да бъдат приписвани на конкретен субект без използването на допълнителна информация, която се съхранява отделно и подлежи на технически и организационни мерки“. Псевдонимизираните данни остават лични данни и подлежат на всички правила на регламента.

EDPB насоки 04/2025 за анонимизация са опитът на Комитета да предложи нов стандарт след Opinion 05/2014 на Article 29 Working Party. Те поставят по-строги технически и правни изисквания и следва да бъдат четени в комбинация с националната практика на надзорните органи, включително КЗЛД.

За помощ с прилагането на тези насоки — вижте ресурсите ни на gdprbg.com, където GDPR екипът на Innovires Legal публикува ръководства, шаблони и казуси.

Анонимизация vs. псевдонимизация — ключови разлики

Различията между двата института имат директно правно значение. Следната таблица обобщава ключовите точки:

КритерийАнонимизацияПсевдонимизация
GDPR обхватИЗВЪН обхвата (ако е истинска)В обхвата — все още лични данни
ОбратимостНЕобратимоОбратимо (с ключ)
Правно основаниеНе се изискваИзисква се (след псевдонимизацията)
DPIAНе се изискваМоже да се изисква
Права на субектитеНе се прилагатПрилагат се
Уведомяване при пробивНе се изискваИзисква се (но рискът е по-нисък)
Трансфери в трети страниСвободниПод GDPR правила

Практическото значение: ако квалифицирате набор от данни като „анонимен“, а реално той е само псевдонимизиран, цялото правно основание на обработването може да се окаже неправилно определено. Именно затова EDPB предлага строги тестове за идентифицируемост.

Трите теста на EDPB за истинска анонимизация

От Opinion 05/2014 на Article 29 Working Party, потвърдени и разширени в новите насоки, EDPB използва три кумулативни теста за идентифицируемост:

  1. Single-out — може ли отделен субект да бъде изолиран („изваден“) от набора, дори без да знаем името му? Уникалната комбинация от атрибути вече е проблем.
  2. Linkability — могат ли записи, отнасящи се до един и същ субект в различни набори (или в рамките на един набор), да бъдат свързани помежду си?
  3. Inference — могат ли характеристики на субекта да бъдат изведени с висока вероятност въз основа на други стойности в набора?

Истинската анонимизация изисква НЕГАТИВЕН отговор на ВСИЧКИТЕ ТРИ теста. Ако дори един от тях е положителен, наборът все още съдържа лични данни и следва да бъде третиран като псевдонимизация.

За практически тестове и одит на анонимизация — нашият екип на gdprbg.com предлага структурирана методология, включително документиране на остатъчния риск.

Техники за анонимизация

Няма универсална техника. Изборът зависи от целта на обработването, вида данни и приемливия компромис между полезност и защита. Основните техники:

ТехникаОписаниеСлабост
GeneralizationЗамяна с по-обща категория (напр. „София“ → „България“)Загуба на полезност
SuppressionПремахване на стойности или цели записиНепълен набор
k-anonymityВсеки запис е неразличим от k-1 другиНе защитава от inference
l-diversityРазнообразие в чувствителните атрибути в рамките на групаНе покрива skewness
t-closenessРазпределението в група да е близко до общотоКомплексно прилагане
Differential privacyМатематическа гаранция за privacy чрез добавен шумТруден за общо прилагане
Synthetic dataНови данни с подобна статистика на оригиналаВсе още може да „помни“ редки записи

В практиката почти винаги се комбинират няколко техники — напр. generalization + k-anonymity + l-diversity. Documentation-first подходът (документиране на всяка трансформация) е задължителен за доказване пред надзорния орган.

Техники за псевдонимизация

  • Хеширане (hash) — еднопосочно трансформиране, но уязвимо на речникови и rainbow-table атаки, ако не е използвана сол.
  • Keyed hash (HMAC) — хеш с таен ключ, който прави атаките значително по-трудни; компрометирането на ключа обаче прави всички записи деанонимизируеми.
  • Детерминистично криптиране — позволява JOIN между различни набори, защото една и съща входна стойност дава един и същ шифротекст.
  • Tokenization — заместване на стойностите със случайни жетони, съхранявани в отделен токенов vault.
  • Encryption с externally managed key — класическа псевдонимизация, защото ключът се съхранява отделно и под различен режим на достъп.

Важно: самото хеширане, без допълнителни контроли, почти никога не е достатъчно за анонимизация. EDPB и Article 29 WP последователно го третират като псевдонимизация.

Техническите детайли обхващаме в GDPR одитите ни на gdprbg.com — от избор на алгоритъм до управление на ключове.

Типични приложения в бизнеса

  • Аналитика и отчети без експозиция на лични данни — BI дашбордове, отчети за мениджмънта.
  • Machine learning моделиране — тренировъчни набори, които не изискват идентичност на субектите.
  • Изследователска дейност — научни публикации, клинични изследвания, академично сътрудничество.
  • Споделяне на данни с партньори — В2В интеграции, където идентичността не е необходима.
  • Marketing analytics — privacy-friendly алтернативи на GA4 и други tracking решения.
  • Health data за изследвания — под строг режим на специални категории по чл. 9 GDPR.
  • Fraud detection — откриване на аномалии без необходимост от директна идентификация.

Във всички тези случаи изборът между анонимизация и псевдонимизация има пряко отражение върху правното основание, срока на съхранение и правата на субектите.

Рискове и ограничения

Основният риск при анонимизацията е re-identification — разкриването на идентичността чрез комбинация с други публични или частни набори. Известни са редица класически казуси:

  • Netflix Prize — анонимни потребителски оценки за филми, комбинирани с IMDb профили, доведоха до деанонимизация на абонати.
  • AOL search log — публикувани „анонимни“ търсачки, които разкриха самоличността на потребители чрез съдържанието на заявките им.
  • Медицински данни — изследвания показват, че комбинацията пощенски код + дата на раждане + пол често е достатъчна за уникална идентификация.

Остатъчният риск винаги съществува. Истинската, абсолютна анонимизация е почти невъзможна при богати набори от данни. Затова EDPB изисква риск-базиран подход, включително оценка на контекста, средствата на предполагаемия противник и наличните външни източници.

Стъпка по стъпка процес

  1. Дефиниране на целта на обработването — за какво ще се използват резултатите.
  2. Инвентаризация на личните данни в изходния набор — кои полета, кои категории.
  3. Оценка на риска от re-identification — кои са вероятните „нападатели“ и какви външни данни имат.
  4. Избор на техника — анонимизация vs. псевдонимизация, съобразно целта и риска.
  5. Техническо прилагане — implementation на избраните трансформации.
  6. Тестване — трите теста на EDPB (single-out, linkability, inference).
  7. DPIA ако процесът е високо-рисков или включва специални категории.
  8. Документация — записи на всяка стъпка, вкл. решения и обосновки.
  9. Регулярен преглед — риск-профилът се променя с появата на нови данни и техники.

Ако процесът Ви е сложен — заявете безплатен GDPR одит на gdprbg.com.

Връзка с DPIA

Когато използвате псевдонимизация като мярка за смекчаване на риска в DPIA (оценка на въздействието върху защитата на данните), това намалява остатъчния риск и обикновено се оценява положително от надзорния орган. Важно е обаче: псевдонимизацията не освобождава от задължението за извършване на DPIA — тя е елемент от преценката, а не изключение.

В DPIA доклада следва изрично да се опишат: (i) избраният метод на псевдонимизация, (ii) местоположението и защитата на ключа, (iii) кръгът от лица с достъп и (iv) процедурата за периодичен преглед.

Допълнителни указания и шаблон за DPIA: Ръководство за DPIA на gdprbg.com, както и ролята на DPO в процеса по анонимизация.

Псевдонимизация и пробиви на сигурността

При пробив на псевдонимизирани данни рискът за субектите често е обективно по-нисък — атакуващият не получава директна идентичност, а само жетони или хешове. Независимо от това, уведомлението пред КЗЛД в рамките на 72 часа по чл. 33 GDPR остава задължително, ако пробивът поражда риск за правата и свободите на субектите.

Ако наред с псевдонимизираните данни е компрометиран и ключът за деанонимизация (или tokenization vault), рискът рязко нараства и уведомлението на самите субекти по чл. 34 GDPR става задължително. Практически: съхранявайте ключовете при различен доставчик или поне на отделна инфраструктура.

Пълен протокол при пробив: Протокол при пробив на gdprbg.com.

Често задавани въпроси

Каква е разликата между анонимизация и псевдонимизация?
Анонимизацията е необратима и изважда данните извън обхвата на GDPR. Псевдонимизацията е обратима (с ключ) и данните остават в обхвата като лични данни.
Хешираните данни анонимни ли са?
Не. Хеш сам по себе си е псевдонимизация — освен ако не е използван keyed hash със защитен ключ, строг достъп и подходящи технически и организационни мерки. Дори тогава EDPB препоръчва внимателна оценка.
Трябва ли DPIA за псевдонимизирани данни?
Да, ако обработването е високо-рисково по чл. 35 GDPR. Псевдонимизацията е само един от факторите за смекчаване, а не автоматично изключение.
Истинска анонимизация възможна ли е?
Технически е много трудна и EDPB изисква отрицателен отговор на трите теста — single-out, linkability, inference. В повечето практически случаи говорим за псевдонимизация.
Трябва ли уведомяване при пробив на псевдо данни?
Зависи от риска. Ако ключът за деанонимизация е в безопасност, рискът за субектите е по-нисък и уведомлението до тях по чл. 34 може да не е нужно — но уведомлението до КЗЛД по чл. 33 се дължи, ако има остатъчен риск.
Какво е k-anonymity?
Метод, при който всеки запис в набора е неразличим от поне k-1 други по quasi-identifier атрибутите. Често се комбинира с l-diversity и t-closeness.
Къде да получа консултация?
На gdprbg.com — безплатна първоначална консултация с GDPR експертите на Innovires Legal.

Нуждаете се от помощ с анонимизация или псевдонимизация?

Нашият специализиран GDPR екип на gdprbg.com извършва оценка, внедряване и одит на техники за анонимизация и псевдонимизация съгласно EDPB насоки 04/2025. Заявете безплатна консултация или попълнете формата по-долу.