Często przy okazji tematu RODO i ochrony danych osobowych, używa się określeń pseudonimizacja i anonimizacja. Z uwagi na to, że RODO obowiązuje już od dłuższego czasu, wierzymy, że duża część z Was zdaje sobie sprawę co kryje się pod tymi pojęciami. Teoretycznie. Jednak jak pokazują nasze doświadczenia i praktyka – nadal nie wszyscy oswoili te pojęcia, albo nie do końca je rozumieją. Dlatego też w dzisiejszym wpisie postanowiliśmy podsumować ten temat i odpowiedzieć na pytania, czym jest pseudonimizacja, na czym polega anonimizacja, jaki jest ich cel i dlaczego dobrze jest znać odpowiedzi na te pytania.

 

Ochrona danych osobowych w firmie

 

Ochrona danych osobowych w firmie wymaga odpowiednich środków organizacyjnych i technologicznych. Czasami konieczne jest całkowite przebudowanie firmowych procesów, wdrożenie dedykowanych rozwiązań IT, a przede wszystkim zmiana podejścia do przetwarzania danych. RODO wprowadziło kilka nowych pojęć i obowiązków, które przedsiębiorcy muszą poznać, zrozumieć i wcielić w życie. Chodzi na przykład o minimalizacje przetwarzania danych, obowiązku informacyjnym, czy też określonych o zgodach na przetwarzanie danych. Wybór metody i samo wdrożenie pewnych środków bezpieczeństwa powinna nastąpić w wyniku dokładnej analizy, najlepiej audytu RODO, do którego już zachęcaliśmy w poprzednich wpisach.

 

Ani RODO ani Ustawa o ochronie danych osobowych nie wskazują precyzyjnie, w jaki sposób administrator (czyli przedsiębiorca lub firma) powinien zapewnić bezpieczeństwo danych osobowych. Sytuacja wymaga indywidualnej oceny, między innymi z uwzględnieniem zakresu i ryzyka naruszenia danych osobowych, czy też biorąc pod uwagę koszty wdrożenia zabezpieczeń. Zabezpieczenia mogą mieć charakter zarówno techniczny jak i organizacyjny. Co ważne, zabezpieczenia te powinny być adekwatne do charakteru, zakresu, kontekstu i celu przetwarzania, a także do ryzyka naruszenia praw lub wolności osób, których dotyczą dane. Zasady ochrony danych powinny dotyczyć wszelkich informacji o zidentyfikowanych, lub możliwych do zidentyfikowania osobach fizycznych. Kluczowe staje się zatem samo ustalenie, czy osoba jest możliwa do zidentyfikowania. Wiąże się to z definicją i tego czym rzeczywiście są dane osobowe. Na liście dostępnych rozwiązań i zabezpieczeń znajduje pseudonimizacja i anonimizacja, o których teraz opowiemy.

 

Czym jest pseudonimizacja?

 

Pseudonimizacja, zgodnie z definicją z art. 4 pkt 5 RODO, polega na przekształceniu danych osobowych w taki sposób, aby nie było możliwe przypisanie ich konkretnej osobie bez posiadania dodatkowych informacji.  Aby była ona możliwa i skuteczna dodatkowe informacje powinny być przechowywane osobno i zostać objęte środkami technicznymi i organizacyjnymi, które uniemożliwiają ich przypisanie do zidentyfikowanej (lub możliwej do zidentyfikowania) osoby fizycznej.

Co istotne, dane osobowe poddane pseudonimizacji pozostają danymi osobowymi w rozumieniu przepisów RODO. Dane osobowe stosownie do art. 4 pkt. 1 oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Jeśli administrator danych chciałby przekazać do innego podmiotu spseudonimizowane dane osobowe to takie przekazanie danych powinno odbywać się z zachowaniem wymogów RODO albowiem dane te pomimo zastosowania pseudonimizacji pozostają danymi osobowymi.

 

Pseudonimizacja może polegać na nadaniu danym osobowym pseudonimu. A dokładniej mówiąc na zamianie danych takich jak imię i nazwisko na ciąg znaków, liczb, które można rozszyfrować jedynie przy pomocy specjalnego „klucza” przetrzymywanego w innym miejscu niż same dane. Chodzi oczywiście o kwestie bezpieczeństwa i minimalizowanie ryzyka naruszeń. Sama technika może być dowolna, nie mamy narzucone jaki pseudonim mają mieć chronione dane. Najważniejszy jest końcowy efekt, zapewnienie odpowiedniej ochrony samego procesu i umożliwienie powrotnej identyfikacji. W przeciwieństwie do anonimizacji, pseudonimizacja jest w pełni odwracalnym procesem. A czym w takim razie jest anonimizacja danych osobowych?

 

Czym jest anonimizacja?

 

RODO nie definiuje wprost anonimizacji, wspomina o niej jedynie motyw 26. preambuły RODO. Nie zmienia to faktu, że nie jest to nowe pojęcie. Występowało w poprzednio obowiązującej Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i określało się w ten sposób trwałe uniemożliwienie zidentyfikowania określonej osoby. Chodzi o takie działania, których efektem będzie brak możliwości ustalenia jakiej osoby dotyczy dany dokument czy informacja.

W przeciwieństwie do pseudonimizacji, (tak jak już wspomnieliśmy) anonimizacja jest procesem nieodwracalnym. Po jej dokonaniu, administrator nie posiada technicznych możliwości ponownego ujawnienia usuniętych danych. Z uwagi, że informacja pozwalająca identyfikację znika na stałe, takie dokumenty nie podlegają już zasadom ochrony danych. Stają się anonimowe, a tym samym RODO przestaje je obowiązywać.

 

Anonimizacja może być stosowana na nośnikach papierowych (dokumentach) poprzez np. zamazanie w tekście dokumentu wszystkich informacji pozwalających na identyfikację osoby, której te dane dotyczą. Anonimizację w przedsiębiorstwie stosuje się w celu usunięcia wszystkich danych umożliwiających identyfikację osób fizycznych (podmiotów danych) w sytuacji gdy ustają podstawy przetwarzania danych osobowych, lub wymaga tego realizacja obowiązków wynikających z RODO (np. retencja danych). Czym zatem różni się anonimizacja od zwykłego usunięcia danych? Usunięcie danych polega na usunięciu wszystkich danych dotyczących określonej osoby fizycznej. Proces odbywa się bez dokonywania dodatkowej analizy, które spośród danych pozwalają lub nie na identyfikację określonej osoby fizycznej. Następuje usunięcie wszystkich danych. W procesie anonimizacji natomiast usuwa się wyłącznie informacje, które mogą stanowić dane osobowe w rozumieniu RODO, pozostawiając inne, które nie pozwalają już na identyfikację osoby, której te dane dotyczą (a nadal mogą być użyteczne dla administratora). Anonimizacja pozwala więc zachować w przedsiębiorstwie te dane, które stosownie do przepisów RODO nie są danymi osobowymi. Informacje te mogą jednak nadal być przydatne na przykład przy działaniach marketingowych. Po dokonaniu anonimizacji w przedsiębiorstwie mogą pozostać dane zawierające np. informacje o zakupionych przez klientów towarach, produktach, które cieszyły się mniejszym lub większym zainteresowaniem, jak również preferencjach zakupowych.

 

ochrona danych w mailach

 

Zastosowanie anonimizacji jest często koniecznością wynikającą np. z funkcjonalności używanego w przedsiębiorstwie systemu informatycznego, który nie pozwala na usunięcie całego rekordu z bazy danych. W takiej sytuacji skorzytamy z niej, aby usunąć wszystkie dane osobowe znajdujące się w danym rekordzie. Zdarza się, że z uwagi na uwarunkowania techniczne systemu, w celu dokonania anonimizacji danych dochodzi do zastąpienia danych osobowych innymi danymi np. imię i nazwisko zastępuje się ciągiem określonych znaków.

Występują różne techniki anonimizacji i każda z nich ma swoje plusy i minusy. Randomizacją określa się techniki, które zmieniają prawdziwość danych. Uogólnianie jest to druga grupa technik anonimizacji i chociaż „może być skuteczna w uniemożliwianiu wyodrębniania, nie pozwala ono na skuteczną anonimizację we wszystkich przypadkach; w szczególności uogólnianie wymaga określonych i zaawansowanych podejść ilościowych w celu zapobieżenia możliwości tworzenia powiązań i wnioskowaniu”. (Grupa Robocza art. 29 – Opinia 05/2014 w sprawie technik anonimizacji).

W przedsiębiorstwie zgodnie z art. 32 ust. 1 RODO pseudonimizacja może mieć zastosowanie jako środek zabezpieczenia danych osobowych. W zależności od wyniku dokonanego szacowania ryzyka administrator może skorzystać z pseudonimizacji w celu zapewnienia stopnia ochrony danych osobowych adekwatnego do istniejącego ryzyka związanego z przetwarzaniem danych osobowych. Ponadto o pseudonimizacji jako środku zabezpieczającym przetwarzanie danych osobowych mowa jest w art. 6 ust. 4 lit. e RODO w kontekście dokonania zmiany celu przetwarzania danych osobowych. Pseudonimizacja w przedsiębiorstwie będzie miała także zastosowanie do ochrony danych w fazie projektowania (privacy by design), o czym mowa w art. 25 ust. 1 RODO.

 

Pamiętajcie, administrator danych jest zobowiązany do wyboru takiego środka zapobiegawczego jaki po odpowiedniej analizie, uzna za stosowny. Nie ma narzuconego jednego scenariusza, ale za to bierze odpowiedzialność za swoje decyzje i działania. Dlatego nie tylko dobrze jest znać pewne pojęcia, ale też umiejętnie wdrażać je w praktyce. W określonych sytuacjach lepszym rozwiązaniem będzie anonimizacja, w innych pseudonimizacja. Po dzisiejszym wpisie mamy nadzieję, że te pojęcia nie będą Wam się mieszać. A jeśli macie więcej pytań, szukacie właśnie takiego praktycznego wsparcia w swojej firmie – zapraszamy do kontaktu.

 

Ochrona danych Co to jest pseudonimizacja i anonimizacja danych?