Bardzo często przy okazji tematu jakim jest RODO i ochrona danych osobowych używa się określeń: anonimizacja i pseudonimizacja. Ale co to te pojęcia znaczą postaramy się odpowiedzieć w poniższym tekście.

1. Ochrona danych osobowych w firmie.

Każdy z nas wie i zdaje sobie sprawę z tego, że ochrona danych osobowych w firmie wymaga odpowiednich środków organizacyjnych i technologicznych. Czasem konieczne staje się całkowite przebudowanie firmowych procesów i wdrażanie dedykowanych rozwiązań IT, ale przede wszystkim wymagana jest zmiana podejścia do przetwarzania danych. RODO wprowadziło kilka nowych pojęć i obowiązków, które przedsiębiorcy muszą poznać, zrozumieć i co najważniejsze wcielić w życie.

Niestety ani RODO, ani Ustawa o ochronie danych osobowych nie wskazują precyzyjnie, w jaki sposób administrator (czyli przedsiębiorca lub firma) ma zapewnić bezpieczeństwo danych osobowych. Sytuacja bowiem wymaga indywidualnej oceny, między innymi z uwzględnieniem zakresu i ryzyka naruszenia danych osobowych, biorąc oczywiście pod uwagę koszty wdrożenia zabezpieczeń. Zabezpieczenia te maja charakter zarówno techniczny jak i organizacyjny. Zabezpieczenia też powinny być adekwatne do charakteru, zakresu, kontekstu i celu przetwarzania, a a także do ryzyka naruszenia praw lub wolności osób, których dotyczące dane. Zasady ochrony danych powinny też dotyczyć wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Zatem kluczowe staje się samo ustalenie, czy osoba jest możliwa do zidentyfikowania. Na liście dostępnych rozwiązań znajduje się pseudonimizacja i anonimizacja, o których poniżej opowiemy.

2. Co to jest pseudonimizacja?

Zgodnie z definicją z art. 4 pkt 5 RODO pseudonimizacja polega na przekształceniu danych osobowych w taki sposób, aby nie było możliwe przypisanie ich konkretnej osobie bez posiadania dodatkowych informacji. Aby była ona możliwa i przede wszystkim skuteczna dodatkowe informacje powinny być przechowywane osobno i zostać objęte środkami technicznymi i organizacyjnymi, które uniemożliwiają ich przypisanie do zidentyfikowanej lub możliwej do identyfikacji osoby fizycznej. Istotne jest to, że dane osobowe, które są poddane pseudonimizacji pozostają danymi osobowymi w rozumieniu przepisów RODO. Dane osobowe stosownie do art.4 pkt 1 oznaczają informacje o zidentyfikowanej lub możliwej do identyfikacji osobie fizycznej. Osoba możliwa do zidentyfikowania to taka osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną. Kulturową lub społeczną tożsamość osoby fizycznej.

Jeśli administrator danych osobowych chciałby przekazać do innego podmiotu spseudonimizowane dane osobowe to takie przekazanie danych powinno odbywać się z zachowaniem wszelkich wymogów RODO albowiem dane te pomimo zastosowania pseudnimizacji pozostają danymi osobowymi.

Pseudonimizacja może polegać na nadaniu danym osobowym pseudonimu. A dokładniej mówiąc na zamianie danych takich jak imię i nazwisko na ciąg znaków, liczb, które można rozszyfrować jedynie przy pomocy specjalnego „klucza” przetrzymywanego w innym miejscu niż same dane.

3. Czym jest anonimizacja?

RODO nie definiuje anonimizacji wprost. Wspomina o niej jedynie motyw 26. Preambuły RODO. Nie zmienia to jednak faktu, że nie jest to nowe i nieznane pojęcie. Występowało ono w poprzednio obowiązującej ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i określało się tym pojęciem trwałe uniemożliwienie zidentyfikowania określonej osoby. Chodzi tu o takie działania, których efektem będzie brak możliwości ustalenia jakiej osoby dotyczy dany dokument czy informacja.

W przeciwieństwie do pseudonimizacji, (tak jak już wspomnieliśmy) anonimizacja jest procesem nieodwracalnym. Po jej dokonaniu, administrator nie posiada technicznych możliwości ponownego ujawnienia usuniętych danych. Z uwagi, że informacja pozwalająca identyfikację znika na stałe, takie dokumenty nie podlegają już zasadom ochrony danych. Stają się anonimowe, a tym samym RODO przestaje je obowiązywać.

Anonimizacja może być stosowana na nośnikach papierowych (dokumentach) poprzez np. zamazanie w tekście dokumentu wszystkich informacji pozwalających na identyfikację osoby, której te dane dotyczą. Anonimizację w przedsiębiorstwie stosuje się w celu usunięcia wszystkich danych umożliwiających identyfikację osób fizycznych (podmiotów danych) w sytuacji gdy ustają podstawy przetwarzania danych osobowych, lub wymaga tego realizacja obowiązków wynikających z RODO (np. retencja danych). Czym zatem różni się anonimizacja od zwykłego usunięcia danych? Usunięcie danych polega na usunięciu wszystkich danych dotyczących określonej osoby fizycznej. Proces odbywa się bez dokonywania dodatkowej analizy, które spośród danych pozwalają lub nie na identyfikację określonej osoby fizycznej. Następuje usunięcie wszystkich danych. W procesie anonimizacji natomiast usuwa się wyłącznie informacje, które mogą stanowić dane osobowe w rozumieniu RODO, pozostawiając inne, które nie pozwalają już na identyfikację osoby, której te dane dotyczą (a nadal mogą być użyteczne dla administratora). Anonimizacja pozwala więc zachować w przedsiębiorstwie te dane, które stosownie do przepisów RODO nie są danymi osobowymi. Informacje te mogą jednak nadal być przydatne na przykład przy działaniach marketingowych. Po dokonaniu anonimizacji w przedsiębiorstwie mogą pozostać dane zawierające np. informacje o zakupionych przez klientów towarach, produktach, które cieszyły się mniejszym lub większym zainteresowaniem, jak również preferencjach zakupowych.

Zastosowanie anonimizacji jest często koniecznością wynikającą np. z funkcjonalności używanego w przedsiębiorstwie systemu informatycznego, który nie pozwala na usunięcie całego rekordu z bazy danych. W takiej sytuacji skorzystamy z niej, aby usunąć wszystkie dane osobowe znajdujące się w danym rekordzie. Zdarza się, że z uwagi na uwarunkowania techniczne systemu, w celu dokonania anonimizacji danych dochodzi do zastąpienia danych osobowych innymi danymi np. imię i nazwisko zastępuje się ciągiem określonych znaków.

Występują różne techniki anonimizacji i każda z nich ma swoje plusy i minusy. Randomizacją określa się techniki, które zmieniają prawdziwość danych. Uogólnianie jest to druga grupa technik anonimizacji i chociaż może być skuteczna w uniemożliwianiu wyodrębniania, nie pozwala ono na skuteczną anonimizację we wszystkich przypadkach; w szczególności uogólnianie wymaga określonych i zaawansowanych podejść ilościowych w celu zapobieżenia możliwości tworzenia powiązań i wnioskowaniu.

W przedsiębiorstwie zgodnie z art. 32 ust. 1 RODO pseudonimizacja może mieć zastosowanie jako środek zabezpieczenia danych osobowych. W zależności od wyniku dokonanego szacowania ryzyka administrator może skorzystać z pseudonimizacji w celu zapewnienia stopnia ochrony danych osobowych adekwatnego do istniejącego ryzyka związanego z przetwarzaniem danych osobowych. Ponadto o pseudonimizacji jako środku zabezpieczającym przetwarzanie danych osobowych mowa jest w art. 6 ust. 4 lit. e RODO w kontekście dokonania zmiany celu przetwarzania danych osobowych. Pseudonimizacja w przedsiębiorstwie będzie miała także zastosowanie do ochrony danych w fazie projektowania (privacy by design), o czym mowa w art. 25 ust. 1 RODO.

Należy pamiętać, że administrator danych jest zobowiązany do wyboru takiego środka zapobiegawczego jaki po odpowiedniej analizie, uzna za stosowny. Nie ma narzuconego jednego scenariusza, ale za to bierze odpowiedzialność za swoje decyzje i działania. Dlatego nie tylko dobrze jest znać pewne pojęcia, ale też umiejętnie wdrażać je w praktyce. W określonych sytuacjach lepszym rozwiązaniem będzie anonimizacja, w innych pseudonimizacja.