Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Podziel się...

Punkty ładowania pojazdów...

25 Kwiecień 2019 
Generalna Dyrekcja Dróg Krajowych i Autostrad otworzyła oferty na dzierżawę 13 miejsc pod...

Wpływ brexitu na zamówienia

25 Kwiecień 2019 
Na nadzwyczajnym szczycie 10 kwietnia br. Rada Europejska zgodziła się przełożyć termin...

Zmiany, zmiany, nowelizacje…

25 Kwiecień 2019 
18 kwietnia 2019 r. weszła w życie ustawa z dnia 9 listopada 2018 r. o elektronicznym...

Pseudonimizacja w rodo – kiedy i jak stosować?

Data publikacji: 28-03-2019 Autor: Maciej Kołodziej
Tagi:    dane osobowe

Odpowiednio dobrana ochrona danych wymagana jest na każdym etapie przetwarzania, np. podczas pozyskiwania, przechowywania, obróbki, analizy, modyfikacji, powierzania, udostępniania, a także usuwania danych.

 

O doborze właściwych sposobów ochrony decyduje administrator danych osobowych (dalej: administrator, ADO), który konsultuje zazwyczaj swoje decyzje z ekspertami zajmującymi się ochroną informacji, w tym danych osobowych, systemami teleinformatycznymi oraz interpretacją przepisów prawnych. Prawodawca unijny, wskazując na konieczność stosowania właściwego poziomu bezpieczeństwa danych – np. w art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej: rodo) – wymienia m.in. dwa sposoby ich ochrony: pseudonimizację i szyfrowanie.

Szyfrowanie jest techniką powszechnie znaną i stosowaną. Natomiast pseudonimizacja wymaga zdefiniowania, doprecyzowania i stosowania w odpowiedni sposób i ze zrozumieniem jako nowego mechanizmu ochrony informacji, mimo że po dokładniejszej analizie część administratorów może uznać, że stosuje już rozwiązania, które są odpowiednikami pseudonimizacji, ale dotychczas nie stosowała dla nich tej nazwy.

Definicja

W motywie 28 preambuły rodo czytamy, że pseudonimizacja danych osobowych może być stosowana, aby ograniczyć ryzyko przetwarzania informacji na temat osób, których dane dotyczą, oraz pomóc administratorom i procesorom w wywiązywaniu się z obowiązków ochrony danych. Należy jednak podkreślić, że wprowadzenie pojęcia „pseudonimizacja” w rodo nie nakazuje stosowania jedynie tego mechanizmu. Prawodawca unijny w rodo zakłada możliwość, a wręcz konieczność, o której decyduje ADO, współdziałania różnych środków ochrony danych, aby odpowiednio zbudować i eksploatować system ich przetwarzania.

W wyniku zastosowania pseudonimizacji część danych dotyczących danej osoby zostaje zastąpiona pseudonimem (odpowiednio przetworzonym ekwiwalentem danych), dzięki czemu są one dodatkowo chronione. W art. 4 pkt 5 rodo pseudonimizacja jest zdefiniowana jako przetwarzanie danych osobowych w postaci tzw. pseudonimów w taki sposób, by nie można ich było przypisać konkretnej osobie bez użycia dodatkowych informacji pozwalających zestawić wszystkie informacje ze sobą.

Jednym z warunków skuteczności i poprawności stosowania pseudonimizacji jest to, że te dodatkowe informacje są przechowywane osobno od pseudonimów (przed, w trakcie i po pseudonimizacji) oraz że są objęte środkami zabezpieczeń technicznych i organizacyjnych uniemożliwiających ich przypisanie lub przyporządkowanie pośrednio lub bezpośrednio zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Kluczowe dla skuteczności pseudonimizacji jest zachowanie w tajemnicy:

 

  • stosowanej metody oraz jej atrybutów, np. hasła lub klucza;
  • stosowanych funkcji i procedur;
  • stosowanych pomocniczych zestawów danych;
  • użytych narzędzi służących do zmiany danych osobowych do postaci chroniącego je pseudonimu.


Zaleca się także, aby zastosowana metoda pseudonimizacji i jej atrybuty były unikalne dla każdej instancji i rodzaju procesu pseudonimizującego. Ma to na celu zmniejszenie powtarzalności stosowania tych samych rozwiązań z takimi samymi parametrami, które może doprowadzić do kompromitacji techniki ochronnej i ujawnienia sposobu wykonywania operacji odwrotnej (depseudonimizacja), pozwalającej na poznanie zawartości chronionych spseudonimizowanych danych. Należy też konsekwentnie stosować to samo rozwiązanie i jego atrybuty w obrębie jednego procesu. Wszystko po to, aby nie doprowadzić do sytuacji, w której dla każdej operacji pseudonimizacji będzie stosowany inny zestaw narzędzi i informacji pomocniczych, które w rzeczywistości staną się unikalną częścią rozszerzającą rekord danych osobowych wskazującą na ten konkretnie zestaw danych, a nie mechanizm jego ochrony.

Dane osobowe, pseudonimy, anonimizacja

Aby właściwie zrozumieć zagadnienie pseudonimizacji, należy zdać sobie sprawę z różnicy między danymi osobowymi, pseudonimami a danymi anonimowymi. Dane osobowe pozwalają na pełne zidentyfikowanie podmiotu danych, a po ich zanonimizowaniu identyfikacja osoby, której dane dotyczą, jest niemożliwa. Pseudonim jest natomiast nośnikiem danych osobowych, ale do jego odczytania i identyfikacji danej osoby niezbędna jest znajomość sposobu pseudonimizacji oraz skorzystanie z dodatkowych informacji (np. z hasła do rozszyfrowania zawartości albo tabeli zawierającej wskaźniki lub powiązania między danymi). Podczas pseudonimizacji zamienia się część danych (nietypowy atrybut), która w sposób jednoznaczny identyfikuje osobę przez inny atrybut, identyfikator lub odpowiedni ciąg znaków lub cyfr, aby nie było możliwe bezpośrednie wskazanie, kogo dane wynikowe (pseudonim) dotyczą. Opisane w dalszej części przykłady wskazują na różne możliwości wykorzystania potencjału, jaki daje pseudonimizacja.

Prawodawca unijny w rodo zachęca do stosowania pseudonimizacji, ponieważ:
 

  • daje ona możliwość, doraźnego lub trwałego, przetwarzania danych w celu innym niż cel, w którym zostały zebrane (art. 6 pkt 4 lit. e rodo);
  • ułatwia odpowiednią ochronę danych, gdy są przetwarzane wtórnie do celów naukowych, historycznych lub statystycznych (art. 89 pkt 1 rodo);
  • jest uznawana za właściwy techniczny środek ochrony danych w fazie projektowania oraz ich domyślnej ochrony (art. 25 pkt 1 rodo).


Administrator może stosować pseudonimizację dla podniesienia poziomu jakości i bezpieczeństwa przetwarzania (art. 32 pkt 1 lit. a rodo). Korzysta też z możliwości uniknięcia konieczności powiadomienia o naruszeniu ochrony w procesie przetwarzania danych organu nadzorczego (art. 33 pkt 1 rodo) lub podmiotów danych (art. 34 pkt 1 rodo), jeśli stosuje pseudonimizację.

 

[...]

 

Maciej Kołodziej
wiceprezes SABI – Stowarzyszenia Inspektorów Ochrony Danych, doradca ds. ochrony danych osobowych, bezpieczeństwa informacji i systemów IT, specjalista informatyki śledczej oraz audytor wiodący ISO/EIC 27001 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

All rights reserved © 2019 Presscom / Miesięcznik Przetargi Publiczne