Pseudonimizacja danych osobowych – sposób na zabezpieczenie danych

pseudonimizacja danych osobowych

W ciągu ostatnich kilku lat pojęcie danych osobowych nabrało większego znaczenia. Wraz z nowymi regulacjami prawnymi, ochrona danych użytkowników, klientów czy pracowników staje się coraz ważniejszym obowiązkiem ich posiadaczy. Jednym z najważniejszych pojęć związanych z ochroną danych osobowych jest pseudonimizacja danych. Mimo że każdy z nas spotkał się z RODO, to wciąż niewiele osób wie, co oznacza pseudonimizacja w praktyce. W tym artykule przybliżymy pojęcie pseudonimizacji danych – co to jest, czym różni się od anonimizacji oraz omówimy, czy pseudonimizacja i szyfrowanie danych osobowych oznacza to samo.

Pseudonimizacja – co to jest?

Mimo wpływu ustaw o danych osobowych na różne aspekty życia codziennego, wiele osób wciąż nie wie, czym jest pseudonimizacja danych. A co to jest? W uproszczeniu można powiedzieć, że pseudonimizacja danych osobowych oznacza ich zaszyfrowanie i przechowywanie w taki sposób, aby dostęp do nich był niemożliwy bez dodatkowych informacji, czyli tzw. klucza.

Należy podkreślić, że pseudonimizacja w praktyce nie musi być wcale skomplikowana. W dzisiejszym świecie spotykamy się z nią na co dzień. Dobrym przykładem może być publikowanie wyników rekrutacji na studia lub do szkół, podczas którego prawdziwe imiona i nazwiska kandydatów są zastąpione indywidualnym numerem. Student czy uczeń posiadający “klucz” potrafi z łatwością rozpoznać się na liście i odczytać wynik.

Jest to oczywiście bardzo prosty przykład pseudonimizacji danych osobowych, który jednak doskonale przedstawia jej główny cel.

Pseudonimizacja danych osobowych – podstawa prawna

Pojęcia pseudonimizacja i szyfrowania danych osobowych nie funkcjonowały w polskim prawie do 2016 roku. Europejska oraz polska ustawa o ochronie danych z lat 1995 i 1997 nie zawierały w swoich postanowieniach pseudonimizacji danych.

Pojawiło się ono dopiero wraz z uchwaleniem Rozporządzenia Parlamentu Europejskiego i Rady UE dotyczącego ochrony danych osobowych. Dokument ten znany jest również pod skrótem RODO. Postanowienia tej ustawy nakładają na organy przetwarzające dane osobowe obowiązek zabezpieczenia tych informacji w celu uniemożliwienia osobom trzecim ich odczytanie. Oczywiście pseudonimizacja danych nie jest jedyną metodą osiągnięcia tego efektu, można na przykład postawić na szyfrowanie.

Dokładną podstawę prawną pseudonimizacji i szyfrowania danych osobowych stanowi art. 4 pkt 5, art. 32 ust. 1 rozporządzenia PE i Rady 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119, s. 1).

Czy istnieje obowiązkowa anonimizacja danych RODO?

Wiele osób słyszało o obowiązku anonimizacji danych RODO w urzędach, uczelniach i przedsiębiorstwach. Podczas gdy, jak już wspominaliśmy organy przetwarzające dane mają obowiązek je zabezpieczać, to nie należy kojarzyć tego obowiązku mylić z anonimizacją danych.

Anonimizacja danych jest pojęciem, które nie obowiązuje w przepisach o RODO. Odnosi się ono bowiem do czynności technicznych związanych z zabezpieczeniem danych chronionych prawem podczas udostępniania dokumentacji. Zdjęcia dokumentów sądowych takich jak wyroki czy pozwy mają często zakreślone nazwiska, adresy czy numery pesel. To właśnie jest anonimizacja danych.

Pseudonimizacja a anonimizacja

Omówiliśmy już, czym jest pseudonimizacja, a czym anonimizacja danych. Przede wszystkim różnią się regulującymi je przepisami prawa; ale nie tylko. Najważniejszą różnicą jest ich odwracalność. Podczas gdy pseudonimizacja danych osobowych jest procesem odwracalnych, anonimizacja to permanentna i nie może zostać cofnięta. Anonimizacja zakłada wykreślenie części treści z dokumentów tak, że nie jest możliwe przywrócenie ich do stanu oryginalnego, to pozostała treść nie podlega już zasadom RODO i może być rozpowszechniana.

Pseudonimizacja w praktyce jest dużo wygodniejszym rozwiązaniem, ponieważ pozwala na równie skuteczną ochronę danych osobowych przy jednoczesnym zachowaniu przepisów RODO i dostępu do oryginalnych treści.

Jak działa pseudonimizacja w praktyce?

Postanowienia przepisów RODO służą nie tylko zdefiniowaniu różnych metod ochrony danych osobowych, ale przede wszystkim nakładają na organy przetwarzające szereg obowiązków. Celem pseudonimizacji i szyfrowania danych osobowych jest oczywiście ochrona użytkowników korzystających z internetu przed wyciekiem informacji chronionych prawem, których udostępnienie mogłoby mieć poważne skutki.

Regulacje RODO zawierają w swojej treści podpowiedzi, jak skutecznie chronić dane użytkowników. Do podstawowych środków należą:

  • ograniczenie ilości przetwarzania danych osobowych
  • szybka pseudonimizacja danych osobowych
  • możliwienie osobom monitorowania przetwarzania danych

Przepisy nie narzucają administratorom danych tego, w jaki sposób powinni oni zabezpieczyć dane. Dlatego tak ważne jest przeprowadzenie odpowiednich badań, ocenienie możliwości technicznych danego organy oraz kosztów wdrożenia nowych, lepszych rozwiązań. Pseudonimizacja danych jest niezwykle istotna zarówno z perspektywy użytkowników, jak i administratorów, ponieważ ci drudzy odpowiadają za swoje błędy finansowo. Kara za nieodpowiednie zabezpieczenie danych może wynosić do 10.000.000 Euro lub 2% wartości światowego obrotu firmy. Wysokość kary ustalana jest indywidualnie na podstawie stopnia zaniedbania, umyślności i możliwości finansowych winnego. Kary te powinny natomiast stanowić świetną motywację dla odpowiedniej pseudonimizacji danych osobowych. :

Pseudonimizacja – przykłady

Jak już zostało wyjaśnione pseudonimizacja danych oznacza proces i cel, a nie konkretne działanie. Oznacza to, że osiągnięcie pseudonimizacji może w praktyce nastąpić na różne sposoby:

  • zaciemnianie liter w danych wrażliwych
  • pseudonimizacja i szyfrowanie danych osobowych z zastrzeżeniem, że klucz dekodujący przechowywany jest w innej bazie
  • tokenizację danych
  • zastępowania części danych znakami
  • zredukowanie danych w taki sposób, aby pokazywały przybliżone wartości.

Powyższe działania mogą zostać usprawnione poprzez zastosowani odpowiednich narzędzi pseudonimizacyjnych. Należy jednak zawsze krytycznie spojrzeć na ich skuteczność i wybierać wyłącznie zaufane rozwiązania. :

Sprawdź naszą usługę Zapewnianie jakości!

Podsumowanie: Pseudonimizacja danych

Pseudonimizacja danych jest jednym z podstawowych obowiązków administratorów. Ma ona na celu zabezpieczenie użytkowników przy jednoczesnym zachowaniu dostępu do oryginalnej treści. Odwracalność procesu jest najważniejszą różnicą pomiędzy pseudonimizacją danych a anonimizacją. :

Pseudonimizację danych można przeprowadzić na wiele sposobów, w różnym zakresie i przy wykorzystaniu szerokiego wachlarza narzędzi. Wybór odpowiedniej strategii zabezpieczenia danych powinien zawsze być poparty szczegółowymi badaniami potrzeb i możliwości danego organu. :

Z perspektywy przedsiębiorstwa bardzo ważne jest zapewnienie wysokiej jakości pseudonimizacji danych w celu uniknięcia odpowiedzialności za zaniedbania. Dlatego warto przetestować wszystkie procesy związane z pseudonimizacją danych. :

Skontaktuj się z nami!


Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *