Opierając się na treści nowego unijnego rozporządzenia ogólnego o ochronie danych (RODO) oraz przyjętej w dniu 10 kwietnia 2014 r. opinii 05/2014 w sprawie technik anonimizacji, wyjaśniamy czym są te pojęcia i wskazujemy na różnice pomiędzy nimi.
Anonimizacja
Jak wskazano w ww. opinii, skuteczne rozwiązanie w zakresie anonimizacji uniemożliwia wyodrębnienie konkretnej osoby fizycznej ze zbioru danych. Anonimizacja pozwala na usunięcie powiązań między danymi osobowymi a osobami, których dane dotyczą. Zanonimizowane dane nie są danymi osobowymi, ponieważ nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. W związku z tym, zasady ochrony danych nie powinny mieć zastosowania do danych zanonimizowanych, co oznacza, że RODO nie stosuje się do przetwarzania takich anonimowych informacji.
Przy stosowaniu anonimizacji samo usunięcie elementów umożliwiających bezpośrednią identyfikację nie wystarcza do zapewnienia aby zidentyfikowanie osoby (której dane dotyczą) nie było już możliwe. Często konieczne będzie podjęcie dodatkowych środków w celu zapobieżenia identyfikacji takiej osoby. Proces anonimizacji polega na tym, by nie istniała już możliwość wykorzystania danych do zidentyfikowania osoby fizycznej za pomocą wszystkich sposobów, jakimi może posłużyć się administrator danych lub osoba trzecia. Istotnym czynnikiem jest fakt, że przetwarzanie musi być nieodwracalne. Jeżeli anonimizacja została przeprowadzona w sposób skuteczny nie będziemy już przetwarzać danych osobowych, w rozumieniu RODO.
Jeżeli natomiast chodzi o pseudonimizację, to w istocie należy uznać ją za środek bezpieczeństwa. Nie jest to natomiast metoda anonimizacji.
Pseudonimizacja
Pseudonimizacja to „ukrycie” danych osobowych, ponieważ nadal istnieje narzędzie, które pozwala je odczytać. Dane osobowe, które są spseudonimizowane, pozostają danymi osobowymi. Poddając je pseudonimizacji, tylko na jakiś czas „ukrywamy” informacje pozwalające zidentyfikować osobę, której dane dotyczą. Aby dokonać skutecznie czynności pseudonimizacji istotne jest to, aby klucz pozwalający odczytać dane był przechowywany osobno, tj. w innym miejscu, niż same dane. Ponadto, klucz musi być odpowiednio zabezpieczony w sposób techniczny i organizacyjny.
Przykładowe metody pseudonimizacji opisane w ww. opinii to np.:
- szyfrowanie z kluczem tajnym – w tym przypadku posiadacz klucza może z łatwością ponownie zidentyfikować każdą osobę, której dane dotyczą, poprzez odszyfrowanie zbioru danych.
- funkcja skrótu – polega na skróceniu danych osobowych do określonych wartości np.: imię i nazwisko skracamy do inicjałów lub numer i adres zamieszkania do pierwszych liter ulicy i miejscowości.
- tokenizacja – technika ta jest zwykle stosowana w sektorze finansowym w celu zastąpienia numerów identyfikacyjnych kart wartościami, które ograniczają ich użyteczność dla osoby trzeciej. Tokenizacja polega na stosowaniu mechanizmów szyfrowania jednokierunkowego lub na przypisaniu za pomocą funkcji indeksu, sekwencji liczb lub losowo wygenerowanych liczb, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych.
W kontekście stosowania RODO podkreśla się, że pseudonimizacja może być jedną z metod zabezpieczenia danych. Zmniejsza ryzyko dla osób, których dane dotyczą oraz pomaga administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.
Istotne jednak jest, że tylko takie przetworzenie danych osobowych, które trwale uniemożliwia identyfikację osoby fizycznej (anonimizacja) lub wręcz usunięcie/zniszczenie danych skutkuje tym, że nie przetwarzamy już danych osobowych. Czyli nie musimy mieć podstawy prawnej do ich przetwarzania.
Podsumowując, podstawowa różnica polega na tym, że skutkiem anonimizacji jest nieodwracalne uniemożliwienie identyfikacji osoby. Natomiast przy zastosowaniu pseudonimizacji nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej.
Anonimizacja i pseudonimizacja w firmach
W kontekście przetwarzania danych osobowych przez firmy/organizacje, pamiętać należy, że informacje stanowiące dane osobowe, do których przetwarzania nie ma podstaw prawnych (np.: o stanie zdrowia dłużników) nie będą danymi, tylko w przypadku gdy w sposób nieodwracalny nie będzie można zidentyfikować osoby fizycznej (tj. np. dłużnika). Technika polegająca np.: na fizycznym rozdzieleniu danych identyfikacyjnych dłużnika i dotyczących jego zadłużenia od danych dotyczących jego stanu zdrowia i powiązanie ich jedynie poprzez przypisanie określonego numeru będzie przykładem pseudonimizacji. Nie można w takim przypadku uznać, że firma/organizacja nie przetwarza danych o stanie zdrowia. Zidentyfikowanie osoby fizycznej nie jest bowiem trwale uniemożliwione.
Interesuje Cię tematyka ochrony danych osobowych na podstawie RODO? Zapraszamy do zapoznania się z naszymi innymi artykułami na ten temat, np. Prawo do bycia zapomnianym, Prawo do przenoszalności danych, Zgoda dziecka na przetwarzanie danych, Obowiązek aktualizowania uzyskanej już raz zgody na przetwarzanie danych.