RODO anonimizacja i pseudonimizacja.

RODO anonimizacja pseudonimizacja

Anonimizacja oraz pseudonimizacja – objaśnienia (RODO).

Opierając się na treści nowego unijnego rozporządzenia ogólnego o ochronie danych (RODO) oraz przyjętej w dniu 10 kwietnia 2014 r. opinii 05/2014 w sprawie technik anonimizacji, wskazujemy na różnice pomiędzy obydwoma pojęciami.

Podstawowa różnica polega na tym, że skutkiem anonimizacji jest nieodwracalne uniemożliwienie identyfikacji osoby. Natomiast przy zastosowaniu pseudonimizacji nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej.

Anonimizacja.

Jak wskazano w ww. opinii, skuteczne rozwiązanie w zakresie anonimizacji uniemożliwia wszystkim stronom wyodrębnienie konkretnej osoby fizycznej ze zbioru danych. Uniemożliwia też, tworzenie powiązań między dwoma zapisami w zbiorze danych (lub między dwoma oddzielnymi zbiorami) i wnioskowanie jakichkolwiek informacji z tych danych. Przy stosowaniu anonimizacji samo usunięcie elementów umożliwiających bezpośrednią identyfikację nie wystarcza do zapewnienia aby zidentyfikowanie osoby (której dane dotyczą) nie było już możliwe. Często konieczne będzie podjęcie dodatkowych środków w celu zapobieżenia identyfikacji takiej osoby. Proces anonimizacji polega na tym, by nie istniała już możliwość wykorzystania danych do zidentyfikowania osoby fizycznej za pomocą „wszystkich sposobów, jakimi może posłużyć się” administrator danych lub osoba trzecia. Istotnym czynnikiem jest fakt, że przetwarzanie musi być nieodwracalne. Jeżeli anonimizacja została przeprowadzona w sposób skuteczny nie będziemy już przetwarzać danych osobowych, w rozumieniu ustawy czy RODO.

Jeżeli natomiast chodzi o pseudonimizację, to w istocie należy uznać ją za środek bezpieczeństwa. Nie jest to natomiast metoda anonimizacji.

Pseudonimizacja.

Pseudonimizacja polega na zastępowaniu jednego atrybutu (z reguły atrybutu nietypowego) w zapisie innym atrybutem. W związku z tym nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej. Dlatego też stosowanie samej pseudonimizacji nie będzie skutkowało anonimowym zbiorem danych.

Przykładowe metody pseudonimizacji opisane w ww. opinii to np.:

  • szyfrowanie z kluczem tajnym:

W tym przypadku posiadacz klucza może z łatwością ponownie zidentyfikować każdą osobę, której dane dotyczą, poprzez odszyfrowanie zbioru danych.

  • funkcja skrótu:

Polega na skróceniu danych osobowych do określonych wartości np.:

– imię i nazwisko skracamy do inicjałów;

– numer i adres zamieszkania do pierwszych liter ulicy i miejscowości.

  • tokenizacja:

Technika ta jest zwykle stosowana w sektorze finansowym w celu zastąpienia numerów identyfikacyjnych kart wartościami, które ograniczają ich użyteczność dla osoby trzeciej. Tokenizacja polega na stosowaniu mechanizmów szyfrowania jednokierunkowego lub na przypisaniu za pomocą funkcji indeksu, sekwencji liczb lub losowo wygenerowanych liczb, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych .

W kontekście stosowania RODO podkreśla się, że pseudonimizacja może być jedną z metod zabezpieczenia danych. Zmniejsza ryzyko dla osób, których dane dotyczą, oraz pomaga administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

Istotne jednak jest, że tylko takie przetworzenie danych osobowych, które trwale uniemożliwia identyfikację osoby fizycznej (anonimizacja) lub wręcz usunięcie/zniszczenie danych skutkuje tym, że nie przetwarzamy już danych osobowych. Czyli nie musimy mieć podstawy prawnej do ich przetwarzania.

Anonimizacja i pseudonimizacja w firmach/organizacjach.

W kontekście przetwarzania danych osobowych przez firmy/organizacje, pamiętać należy, że informacje stanowiące dane osobowe, do których przetwarzania nie ma podstaw prawnych (np.: o stanie zdrowia dłużników) nie będą danymi, tylko w przypadku gdy w sposób nieodwracalny nie będzie można zidentyfikować osoby fizycznej (tj. np. dłużnika). Technika polegająca np.: na fizycznym rozdzieleniu danych identyfikacyjnych dłużnika i dotyczących jego zadłużenia od danych dotyczących jego stanu zdrowia i powiązanie ich jedynie poprzez przypisanie określonego numeru będzie przykładem pseudonimizacji. Nie można w takim przypadku uznać, że firma/organizacja nie przetwarza danych o stanie zdrowia. Zidentyfikowanie osoby fizycznej nie jest bowiem trwale uniemożliwione.

Kary GIODO – Ochrona danych osobowych w praktyce

Zapewne nie jeden administrator danych zastanawiał się jakie kary nakłada GIODO. Sprzyjają temu media, w których co jakiś czas pojawia się temat kar nakładanych rzekomo przez Generalnego Inspektora Ochrony Danych osobowych. Warto pamiętać, iż GIODO nie posiada co do zasady kompetencji umożliwiających nakładanie kar finansowych np. w sytuacji wykrycia uchybień podczas kontroli.

Powstaje więc pytanie, czy GIODO może zrobić cokolwiek jeżeli administrator danych nie stosuje się do wymagań nałożonych ustawą o ochronie danych osobowych i czy administrator danych może zostać obciążony jakimiś karami pieniężnymi?

Warto pamiętać, że jednym ze środków jakie może zastosować GIODO jest złożenie zawiadamiania o możliwości popełnienia przestępstwa do prokuratury!

W poniższym artykule skoncentrujemy się na innym narzędziu jakim dysponuje GIODO. Ww. narzędziem jest możliwość nałożenia grzywny w celu wymuszenia wykonania wydanej decyzji administracyjnej. O samej egzekucji pisaliśmy szerzej w artykule Egzekucja decyzji GIODO. Przypomnę tylko, że GIODO od 7 marca 2011 roku może nakładać grzywny w celu przymuszenia na podmioty, które nie będą wykonywały jego decyzji administracyjnych.

Dzisiaj postaram się opisać jak wygląda możliwość miarkowania wysokości i nałożenia przez GIODO grzywny na administratora danych, który nie wykonuje decyzji administracyjnej GIODO. Na samym początku chciałbym zaznaczyć, iż do Zespołu do Spraw Egzekucji Administracyjnej trafia w finale mało spraw. Sam Zespół do Spraw Egzekucji Administracyjnej to jednostka organizacyjna wyodrębniona w strukturze biura GIODO a odpowiedzialna za prowadzenie postępowań egzekucyjnych. Zdecydowana większość administratorów danych decyduje się na dobrowolne wykonanie decyzji GIODO. Ale jak to często w życiu bywa nie wszyscy adresaci decyzji decydują się je wykonywać. GIODO w takiej sytuacji wykorzystuje swoje nowe kompetencje i w efekcie nakłada grzywny. Jak wygląda nałożenie grzywny? W jednym z orzeczeń NSA możemy przeczytać:

Generalny Inspektor podniósł bowiem, że […] […] Zarząd […]: 1) nie wykonał dobrowolnie obowiązku wynikającego z ostatecznej decyzji, 2) zignorował wezwania organu egzekucyjnego do dobrowolnego wykonania tego obowiązku, 3) nie wykonał ciążącego na nim obowiązku, nawet częściowo, mimo że jego wykonanie nie stanowiło dla zobowiązanego żadnej uciążliwości, czy to od strony finansowej czy to od strony organizacyjnej, co uzasadnia nałożenie grzywny w wysokości 25 000 zł.[1]

Widzimy więc, że administrator danych po prostu zignorował GIODO. Gdyby administrator danych zastosował się do decyzji, uniknąłby nałożenia grzywny i całego postępowania sądowego, które w końcu przegrał. W przytoczonym wyroku NSA rozstrzygał, czy grzywna we wskazanej wysokości jest adekwatna. Zdaniem WSA (sygn. II SA/Wa 1804/13) grzywna w wysokości 25 000 zł jest niezasadna z uwagi na okoliczność, iż w postanowieniu nie wyjaśniono dlaczego zasądzono grzywnę w takiej właśnie wysokości. Z argumentacją WSA nie zgodził się NSA twierdząc, że GIODO może nakładać grzywny uznaniowo do 50 000 zł (w przypadku spółek handlowych). Warto pamiętać, że w takim wypadku suma nałożonych grzywn  nie powinna przekroczyć 200 000 zł.- dotyczy to jednak niewykonania konkretnej decyzji administracyjnej. Zatem jeśli nie wykonaliśmy dwóch decyzji, możemy się spodziewać maksymalnie grzywn w wysokości do 400 000 zł.

Na marginesie warto jeszcze wspomnieć o okoliczności, iż GIODO był organem egzekucyjnym w zakresie egzekucji niepieniężnej również przed wejściem w życie nowelizacji  7 marca 2011 roku. Do takich wniosków doszedł NSA[2] :

„Reasumując należy stwierdzić, że zwrot „organy administracji rządowej” użyty w art. 2 § 1 pkt 10 ustawy o postępowaniu egzekucyjnym w administracji należy rozumieć tak jak „organy administracji publicznej” w ustawie Kodeks postępowania administracyjnego. Zatem wbrew stanowisku Sądu I instancji, decyzje Generalnego Inspektora Ochrony Danych Osobowych wydane zarówno przed 7 marca 2011 r., jak też po tej dacie, nakładające obowiązki o charakterze niepieniężnym podlegają egzekucji w trybie określonym w ustawie o postępowaniu egzekucyjnym w administracji. Przyjęcie odmiennego stanowiska prowadzi bowiem do wniosku, że decyzja GIODO nakazująca administratorowi danych ujawnienie zainteresowanej osobie określonych danych byłaby w istocie niewykonalna, a taka sytuacja jest niedopuszczalna w demokratycznym państwie prawnym.”

[1] sygn. I OSK 1466/14

[2] sygn. I OSK 316/13

Dane osobowe a Kancelaria Prawna (adwokacka, notariala, radców prawnych)

kancelaria prawnaPodobno pod latarnią zawsze najciemniej. Może trochę za mocne jest to twierdzenie, ale w niektórych przypadkach jest to stwierdzenie oddające faktyczny stan rzeczy. Teoretycznie Ci (Kancelaria Prawna), którzy w pierwszej linii powinni dbać o to, aby kwestie ochrony danych osobowych, w szczególności spełnić podstawowe obowiązki wynikające z przepisów ochrony danych osobowych, nic nie mają. Dlaczego się tak dzieje, trudno to wytłumaczyć, ale Generalny Inspektor Ochrony Danych Osobowych postanowił ruszyć do korporacji prawniczych ze szkoleniami przedstawiając podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych i z innych branżowych przepisów. Miejmy nadzieje, że ta akcja przyniesie powodzenie.

Ustawa o ochronie danych osobowych nakłada na administratorów danych szereg obowiązków. Ustawa, stosownie do art. 3 ust. 2 pkt. 2 ustawy o ochronie danych osobowych ma zastosowanie do osób fizycznych i osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Warto również przytoczyć definicję administratora danych, stosownie do art. 7 pkt. 4 ustawy o ochronie danych osobowych pod pojęciem administratora danych należy rozumieć organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych. W stosunku do opisywanej sprawy oznacza to tyle, że niezależnie od formy prowadzonej przez kancelarię działalności, czy to będzie spółka kapitałowa, spółka osobowa, czy osoba fizyczna prowadząca działalności gospodarczą w oparciu o przepisy ustawy o swobodzie działalności gospodarczej, kancelarie prawne zobowiązane są posiadać dokumentację ochrony danych osobowych (Politykę Bezpieczeństwa Ochrony Danych Osobowych i Instrukcję Zarządzania Systemami Informatycznymi). W dokumentacji m.in trzeba wyodrębnić zbiory danych osobowych. Warto przy tym wspomnieć że art. 43 ust. 1 pkt. 5 ustawy o ochronie danych osobowych wyłącza obowiązek rejestracji wobec zbiorów danych osobowych przetwarzanych w związku z obsługą adwokata, radcy prawnego, notariusza, doradcy podatkowego, rzecznika patentowego lub biegłego rewidenta, w związku z powyższym kancelarie nie mają obowiązku rejestracji w GIODO takich zbiorów danych osobowych (ale tak jak zostało wspomniane powyżej mają obowiązek ich wyodrębnienia). Jednakże gdyby kancelaria przetwarzała dane osobowe swoich klientów lub potencjalnych klientów w innych celach, np. w związku z wysyłką newslettera lub marketingowych, to już nie skorzysta z tego zwolnienia i powinna zarejestrować w GIODO zbiór danych osobowych.

Kolejną kwestią na jaką warto zwrócić uwagę jest kwestia potencjalnej kontroli Generalnego Inspektora Ochrony Danych Osobowych (GIODO) w kancelarii. Przykładowo wyłączenia i zastrzeżenia ustawowe (…) również nie będą dotyczyły adwokatów (art. 15 ust. 2 w zw. z art. 43 ust. 1 pkt 1a oraz art. 18 ust. 2 i 2a ustawy o ochronie danych osobowych). W tym miejscu, na podstawie wykładni wskazanych przepisów ustawy o ochronie danych osobowych, wobec braku szczególnych wyłączeń i zastrzeżeń odnośnie do tajemnicy adwokackiej w tej ustawie, można jedynie postawić wniosek de lege ferenda, by wyłączenia ustawowe, o których mowa w art. 43 ust. 2, objęły również adwokatów w zakresie przedmiotowym danych dotyczących osób korzystających z obsługi adwokackiej¹. W związku z brakiem takiego wyłączenia kancelarię są więc narażone na możliwość kontroli ze strony GIODO. Jest to kolejny argument za tym, aby kancelarie stosowały się do przepisów ustawy o ochronie danych osobowych.

Poza posiadaniem dokumentacji ochrony danych osobowych w każdej kancelarii należy stosować środki ochrony odpowiednie do zagrożeń. Do podstawowych środków ochrony danych osobowych zalecamy:

• Przeszkolenie wszystkich pracowników kancelarii z podstawowych zagadnień ochrony danych osobowych oraz zastosowanych środków bezpieczeństwa;

• Zebranie od wszystkich pracowników kancelarii oświadczeń o zachowaniu w poufności danych osobowych i sposobów ich zabezpieczania;

• Korzystanie z urządzeń zapewniającą możliwość szyfrowania dokumentów przechowywanych lokalnie oraz wysyłanych między sobą i do klientów firmy przy użyciu środków komunikacji elektronicznej;

Stosowanie takich zabezpieczeń jest nie tylko spełnieniem obowiązków ustawowych, ale i leży w interesie kancelarii, gdyż zapewne klient nie skorzysta więcej z usług kancelarii, która gubi przekazane dane osobowe. Warto na koniec również wspomnieć, o tym, że nieprzestrzeganie przepisów ustawy o ochronie danych osobowych może narazić Pracowników i wspólników kancelarii na odpowiedzialność karną przewidzianą w rozdziale 8 ustawy o ochronie danych osobowych (przestępstwa zagrożone karą pozbawienia wolności do lat 3) oraz przepisami kodeksu karnego (np. 267 kk, 269b kk).

¹ – M.Swora, Tajemnica adwokacka w świetle wybranych przepisów ustawy o ochronie danych osobowych, Palestra nr 3-4 z 2004 r.