pl

Anonimizacja i pseudonimizacja danych

Rozporządzenie o ochronie danych osobowych wymaga, aby każdy podmiot przetwarzający dane osobowe dostosował swoje systemy bezpieczeństwa do poziomu ryzyka naruszenia ochrony danych. W tej kwestii przepisy wprowadzają dwa istotne przepisy – anonimizację i pseudonimizację. Jak zatem zwiększyć bezpieczeństwo danych osobowych?

Pseudonimizacja to przetworzenie danych tak, by nie można ich było przypisać osobie, której te dane dotyczą, bez użycia dodatkowych informacji. Konieczne jednak jest, aby dane te nie były przechowywane w tym samym miejscu.

Przykładem może być posługiwanie się numerem identyfikacyjnym (zamiast pełnym imieniem i nazwiskiem) oraz ograniczonym zestawem danych.

Przy stosowaniu pseudonimizacji administrator musi dbać o odpowiedni podział zadań dla osób, które zaangażowane są w ten proces. Przede wszystkim musi wyznaczyć osobę odpowiedzialną za nadawanie numeru identyfikacyjnego oraz osobę, która będzie posiadać dane umożliwiające identyfikację powrotną.

Poza wyznaczeniem ról administrator musi też ustalić, na jakich zasadach i w jakich przypadkach możliwa jest identyfikacja powrotna spseudonimizowanych danych.

W artykule 32 ust. lit. a RODO pseudonimizacja jest wymieniona jako jeden ze środków technicznych i organizacyjnych, z którego administrator może skorzystać, aby podwyższyć bezpieczeństwo danych.

Anonimizacja danych nie została zdefiniowana ani w ustawie o ochronie danych osobowych, ani w RODO. Wspomina o niej jedynie motyw 26. preambuły RODO.

Według tego postanowienia zasady ochrony danych osobowych nie powinny mieć zastosowania do danych zanonimizowanych, bo anonimizacja jest nieodwracalna. Nie można więc powrotnie zidentyfikować osób, do których dane należą, a więc de facto przestają one być danymi osobowymi. Przykładem anonimizacji danych może być usunięcie tzw. identyfikatorów, np. imienia, nazwiska czy adresu zamieszkania.

Podstawową cechą różnicującą pseudonimizację i anonimizację jest odwracalność. Anonimizacja jest procesem nieodwracalnym, pseudonimizacja zaś jest odwracalna. Co ważne, dane spseudonimizowane w dalszym ciągu podlegają regulacjom dotyczącym ochrony danych osobowych, a dane zanonimizowane już nie. Bezpośrednie wprowadzenie pseudonimizacji do RODO nie służy jednak wykluczeniu innych środków ochrony danych.

 

*Autor: Katarzyna Blachowicz, radca prawny, młodszy partner w Kancelarii Prawnej GWW

 

Artykuł ukazał się w Gazecie Wyborczej.

Podziel się

Powiązane wpisy

Dni Otwarte w GWW Rzeszów za nami aktualności

Dni Otwarte w GWW Rzeszów za nami

Dni Otwarte w GWW Rzeszów za nami
CIT: zbliżający się termin na złożenie informacji o wspólnikach spółki jawnej aktualności

CIT: zbliżający się termin na złożenie informacji o wspólnikach spółki jawnej

CIT: zbliżający się termin na złożenie informacji o wspólnikach spółki jawnej
Awanse w zespole doradztwa prawnego aktualności

Awanse w zespole doradztwa prawnego

Awanse w zespole doradztwa prawnego
Awanse w zespole doradztwa prawnego aktualności

Awanse w zespole doradztwa prawnego

Awanse w zespole doradztwa prawnego

Obawiasz się,
że ominą Cię
najważniejsze zmiany
W prawie?

Zapisz się do newslettera