Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), powszechnie nazywane RODO, bez wątpienia wywołało rewolucję w przedmiocie ochrony danych osobowych. Wszystkie podmioty – w tym wszyscy przedsiębiorcy przetwarzający dane osobowe swoich pracowników czy klientów zostali zobligowani do wdrożenia nowych przepisów i regulacji. Niezwykle ważne jest rozróżnienie pojęć anonimizacji i pseudonimizacji oraz prawidłowe zastosowanie tych metod. Czym się różni pseudonimizacja danych osobowych a anonimizacja?
Definicja danych osobowych w RODO
Przedsiębiorca musi pamiętać, że zgodnie z postanowieniami RODO danymi osobowymi są wszystkie dane umożliwiające identyfikację osoby fizycznej. Będzie to nie tylko imię i nazwisko, adres zamieszkania czy numer PESEL, lecz także mogą nią być np. numer IP, e-mail, płeć, wyznanie.
Dana osobowe wg RODO, to "Informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej."
Warto pamiętać, że RODO nie zawiera szczegółowej instrukcji, którą może wdrożyć w swojej działalności każdy przedsiębiorca. Konieczne jest dokonanie analizy zakresu danych, jakimi dysponuje przedsiębiorca i następnie wybranie takich metod i sposobów ich przetwarzania, które zapewnią pełną ochronę. Anonimizacja oraz pseudonimizacja są jednymi z metod ochrony danych osobowych.
Definicja pseudonimizacji w RODO
"Przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej."
Zgodnie z treścią przepisu art. 32 ust. 2 rozporządzenia RODO pseudonimizacja jest środkiem technicznym i organizacyjnym, który winien zostać zastosowany w celu zapewnienia stopnia bezpieczeństwa odpowiadającego występującemu w danych okolicznościach ryzyku.
Pseudonimizacja polega na wyodrębnieniu ze zbioru danych osobowych, którymi dysponuje podmiot je przetwarzający, takich danych, które umożliwiają jednoznaczną identyfikację osoby i zastąpienie ich informacjami, które nie są danymi osobowymi (np. liczbami porządkowymi). Rezultat pseudonimizacji może być zupełnie niezwiązany z początkowym kształtem zbioru danych, jeśli zastosowano np. cyfry przyporządkowane losowo. Po usunięciu danych zbiór ten nie stanowi już danych wrażliwych. Metoda ta często stosowana jest np. w szkołach publikujących wyniki egzaminów. Pseudonimizacja, jak wspomniano powyżej, nie jest procesem nieodwracalnym, nadal istnieje bowiem szansa odtworzenia danych. Znając klucz, którym posłużono się przy zamianie identyfikatorów, możliwe jest uzyskanie informacji o pierwotnej treści i zakresie danych osobowych. Z tego względu pseudonimizacja jest środkiem technicznym, lecz nie stanowi metody skutecznej i całkowitej anonimizacji. Co istotne, dane osobowe po procesie pseudonimizacji w dalszym ciągu podlegają regułom przetwarzania danych osobowych (a zatem m.in. konieczne jest wskazanie podstawy przetwarzania danych).
Różne metody pseudonimizacji
Przedsiębiorcy rozważający zastosowanie tych technik ochrony danych osobowych winni zapoznać się z treścią Opinii nr 05/2014 w sprawie technik anonimizacji z 10 kwietnia 2014 r. przyjętej przez Grupę Roboczą ds. Ochrony Danych Osobowych Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych, powołanej na podstawie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. Opinia wskazuje najczęściej stosowane metody pseudonimizacji, do których należą:
-
szyfrowanie z kluczem tajnym: w przypadku tej metody odszyfrowanie jest możliwe w przypadku posiadania klucza, a dane osobowe nadal znajdują się w tym samym zbiorze danych;
-
funkcja skrótu: metoda ta polega na skróceniu danych, które umożliwiają identyfikację osoby (np. ograniczenie nazwiska wyłącznie do pierwszej litery), sposób ten bywa przedmiotem ataków siłowych polegających na wypróbowaniu wszystkich możliwych kombinacji znaków;
-
funkcja skrótu z kluczem, w której przypadku klucz jest przechowywany: funkcja ta do opisanej powyżej funkcji skrótu dodaje klucz szyfrowany, który umożliwia identyfikację danych, zastosowanie tej metody znacznie utrudnia ewentualne ataki;
-
funkcja skrótu z kluczem, w której przypadku klucz jest usuwany: ten sposób polega na zastosowaniu losowego numeru dla każdego usuwanego identyfikatora, a następnie usunięcie klucza, który zastosowano przy zaszyfrowaniu danych;
-
tokenizacja: metoda często stosowana w sektorze bankowym, polegająca na zastąpieniu danych ciągiem cyfr wygenerowanych losowo.
Należy zaznaczyć, że zastosowanie pseudonimizacji wymaga zamiany wszystkich identyfikatorów pozwalających na odszyfrowanie danych osobowych. Zastąpienie zaledwie jednego z nich najczęściej nadal umożliwia odczytanie danych. Stosowany klucz powinien być różny dla różnych baz danych – zastosowanie tego samego klucza w przypadku wszystkich zbiorów przechowywanych przez przedsiębiorcę nie może zostać uznane za bezpieczne. Administrator danych osobowych winien również zwrócić szczególną uwagę na sposób przechowywania klucza. Z uwagi na fakt, że posiadanie klucza umożliwia odwrócenie procesu pseudonimizacji, konieczne jest dochowanie należytej staranności w celu jego zabezpieczenia.
Przedsiębiorcy winni mieć również na uwadze, że samo zastosowanie pseudonimizacji nie może być jedynym środkiem ochrony danych osobowych. Skuteczne zabezpieczenie danych osobowych przed nieuprawnionym dostępem i wykorzystaniem powinno zostać przeprowadzone wielostopniowo, z wykorzystaniem różnych środków ochrony danych, stosownie do okoliczności i rodzaju danych, jakimi dysponuje przedsiębiorca.
Pseudonimizacja danych osobowych jest odwracalna
Pseudonimizacja jest pojęciem wprowadzonym w RODO (przepis art. 4 pkt 4 rozporządzenia), zaś instytucja anonimizacji była znana wcześniej polskiemu prawu. Zasadnicza różnica pomiędzy obydwoma pojęciami dotyczy skutków, które powstaną w wyniku zastosowania konkretnej metody:
-
anonimizacja jest procesem nieodwracalnym i utajnione w wyniku tego procesu dane nie będą mogły być odzyskane;
-
pseudonimizacja umożliwia pośrednią identyfikację osoby, której dane zostały utajnione
Czym jest anonimizacja danych osobowych?
Przepisy rozporządzenia RODO nie posługują się pojęciem anonimizacji i nie zawierają definicji legalnej tego pojęcia. Należy przyjąć jednak, że anonimizacja polega na takim przetworzeniu danych osobowych, które uniemożliwią ich identyfikację. Zanonimizowanie danych polega zatem na pozbawieniu ich wszystkich cech umożliwiających ewentualną identyfikację. Proces ten jest niemożliwy do odwrócenia. Dane zanonimizowane są wykorzystywane np. na cele związane z prowadzeniem badań statystycznych.
Dane, które zostały poddane procesowi anonimizacji, nie stanowią danych osobowych i nie podlegają reżimowi przepisów RODO. Dane przetworzone poprzez pseudonimizację nadal muszą być zabezpieczane zgodnie z zasadami ochrony danych osobowych.
Dane, które zostały zanonimizowane, nie podlegają reżimowi przepisów o przetwarzaniu danych osobowych, dane osobowe zostały bowiem usunięte ze zbioru danych i nie stanowią już dalej danych podlegających ochronie.
Należy wyróżnić dwie główne metody anonimizacji:
-
randomizacja: to metoda polegająca na zmianie danych umożliwiających zidentyfikowanie danych osobowych na dane przypadkowe, niezwiązane w żaden sposób z danymi pierwotnymi. Istnieje wiele sposobów randomizacji, m.in. dodawanie zakłóceń lub podstawianie danych;
-
uogólnianie: ten sposób polega na modyfikowaniu danych poprzez zmianę rzędu wielkości (np. zamianę miejscowości na województwo). Uogólnienie nie jest możliwe w odniesieniu do wszystkich kategorii danych.
Przedsiębiorcy korzystający z tych technik winni zachować – jak przy wszystkich innych metodach przetwarzania danych osobowych – szczególną ostrożność. Celem ochrony danych osobowych jest zastosowanie takich rozwiązań, które uniemożliwią bezprawne wykorzystanie danych osobowych przez osoby trzecie. Administratorzy danych osobowych winni rozważyć, w jaki sposób przetwarzane przez nich dane mogą zostać wykorzystane i czy na podstawie posiadanych przez nich danych – nawet zabezpieczonych – możliwe jest przeprowadzenie identyfikacji osób.