Anonimizacja i pseudonimizacja danych

Zdjęcie: Mindandi - Freepik.com

Rozporządzenie o ochronie danych osobowych wymaga, aby każdy podmiot przetwarzający dane osobowe dostosował swoje systemy bezpieczeństwa do poziomu ryzyka naruszenia ochrony danych. W tej kwestii przepisy wprowadzają dwa istotne przepisy - anonimizację i pseudonimizację. Jak zatem zwiększyć bezpieczeństwo danych osobowych?

Pseudonimizacja to przetworzenie danych tak, by nie można ich było przypisać osobie, której te dane dotyczą, bez użycia dodatkowych informacji. Konieczne jednak jest, aby dane te nie były przechowywane w tym samym miejscu.

Przykładem może być posługiwanie się numerem identyfikacyjnym (zamiast pełnym imieniem i nazwiskiem) oraz ograniczonym zestawem danych.

Przy stosowaniu pseudonimizacji administrator musi dbać o odpowiedni podział zadań dla osób, które zaangażowane są w ten proces. Przede wszystkim musi wyznaczyć osobę odpowiedzialną za nadawanie numeru identyfikacyjnego oraz osobę, która będzie posiadać dane umożliwiające identyfikację powrotną.

Poza wyznaczeniem ról administrator musi też ustalić, na jakich zasadach i w jakich przypadkach możliwa jest identyfikacja powrotna spseudonimizowanych danych.

W artykule 32 ust. lit. a RODO pseudonimizacja jest wymieniona jako jeden ze środków technicznych i organizacyjnych, z którego administrator może skorzystać, aby podwyższyć bezpieczeństwo danych.

Anonimizacja danych nie została zdefiniowana ani w ustawie o ochronie danych osobowych, ani w RODO. Wspomina o niej jedynie motyw 26. preambuły RODO.

Według tego postanowienia zasady ochrony danych osobowych nie powinny mieć zastosowania do danych zanonimizowanych, bo anonimizacja jest nieodwracalna. Nie można więc powrotnie zidentyfikować osób, do których dane należą, a więc de facto przestają one być danymi osobowymi. Przykładem anonimizacji danych może być usunięcie tzw. identyfikatorów, np. imienia, nazwiska czy adresu zamieszkania.

Podstawową cechą różnicującą pseudonimizację i anonimizację jest odwracalność. Anonimizacja jest procesem nieodwracalnym, pseudonimizacja zaś jest odwracalna. Co ważne, dane spseudonimizowane w dalszym ciągu podlegają regulacjom dotyczącym ochrony danych osobowych, a dane zanonimizowane już nie. Bezpośrednie wprowadzenie pseudonimizacji do RODO nie służy jednak wykluczeniu innych środków ochrony danych.

Przygotuj swoją firmę do RODO