RODO anonimizacja i pseudonimizacja.

RODO anonimizacja pseudonimizacja

Anonimizacja oraz pseudonimizacja – objaśnienia (RODO).

Opierając się na treści nowego unijnego rozporządzenia ogólnego o ochronie danych (RODO) oraz przyjętej w dniu 10 kwietnia 2014 r. opinii 05/2014 w sprawie technik anonimizacji, wskazujemy na różnice pomiędzy obydwoma pojęciami.

Podstawowa różnica polega na tym, że skutkiem anonimizacji jest nieodwracalne uniemożliwienie identyfikacji osoby. Natomiast przy zastosowaniu pseudonimizacji nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej.

Anonimizacja.

Jak wskazano w ww. opinii, skuteczne rozwiązanie w zakresie anonimizacji uniemożliwia wszystkim stronom wyodrębnienie konkretnej osoby fizycznej ze zbioru danych. Uniemożliwia też, tworzenie powiązań między dwoma zapisami w zbiorze danych (lub między dwoma oddzielnymi zbiorami) i wnioskowanie jakichkolwiek informacji z tych danych. Przy stosowaniu anonimizacji samo usunięcie elementów umożliwiających bezpośrednią identyfikację nie wystarcza do zapewnienia aby zidentyfikowanie osoby (której dane dotyczą) nie było już możliwe. Często konieczne będzie podjęcie dodatkowych środków w celu zapobieżenia identyfikacji takiej osoby. Proces anonimizacji polega na tym, by nie istniała już możliwość wykorzystania danych do zidentyfikowania osoby fizycznej za pomocą „wszystkich sposobów, jakimi może posłużyć się” administrator danych lub osoba trzecia. Istotnym czynnikiem jest fakt, że przetwarzanie musi być nieodwracalne. Jeżeli anonimizacja została przeprowadzona w sposób skuteczny nie będziemy już przetwarzać danych osobowych, w rozumieniu ustawy czy RODO.

Jeżeli natomiast chodzi o pseudonimizację, to w istocie należy uznać ją za środek bezpieczeństwa. Nie jest to natomiast metoda anonimizacji.

Pseudonimizacja.

Pseudonimizacja polega na zastępowaniu jednego atrybutu (z reguły atrybutu nietypowego) w zapisie innym atrybutem. W związku z tym nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej. Dlatego też stosowanie samej pseudonimizacji nie będzie skutkowało anonimowym zbiorem danych.

Przykładowe metody pseudonimizacji opisane w ww. opinii to np.:

  • szyfrowanie z kluczem tajnym:

W tym przypadku posiadacz klucza może z łatwością ponownie zidentyfikować każdą osobę, której dane dotyczą, poprzez odszyfrowanie zbioru danych.

  • funkcja skrótu:

Polega na skróceniu danych osobowych do określonych wartości np.:

– imię i nazwisko skracamy do inicjałów;

– numer i adres zamieszkania do pierwszych liter ulicy i miejscowości.

  • tokenizacja:

Technika ta jest zwykle stosowana w sektorze finansowym w celu zastąpienia numerów identyfikacyjnych kart wartościami, które ograniczają ich użyteczność dla osoby trzeciej. Tokenizacja polega na stosowaniu mechanizmów szyfrowania jednokierunkowego lub na przypisaniu za pomocą funkcji indeksu, sekwencji liczb lub losowo wygenerowanych liczb, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych .

W kontekście stosowania RODO podkreśla się, że pseudonimizacja może być jedną z metod zabezpieczenia danych. Zmniejsza ryzyko dla osób, których dane dotyczą, oraz pomaga administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

Istotne jednak jest, że tylko takie przetworzenie danych osobowych, które trwale uniemożliwia identyfikację osoby fizycznej (anonimizacja) lub wręcz usunięcie/zniszczenie danych skutkuje tym, że nie przetwarzamy już danych osobowych. Czyli nie musimy mieć podstawy prawnej do ich przetwarzania.

Anonimizacja i pseudonimizacja w firmach/organizacjach.

W kontekście przetwarzania danych osobowych przez firmy/organizacje, pamiętać należy, że informacje stanowiące dane osobowe, do których przetwarzania nie ma podstaw prawnych (np.: o stanie zdrowia dłużników) nie będą danymi, tylko w przypadku gdy w sposób nieodwracalny nie będzie można zidentyfikować osoby fizycznej (tj. np. dłużnika). Technika polegająca np.: na fizycznym rozdzieleniu danych identyfikacyjnych dłużnika i dotyczących jego zadłużenia od danych dotyczących jego stanu zdrowia i powiązanie ich jedynie poprzez przypisanie określonego numeru będzie przykładem pseudonimizacji. Nie można w takim przypadku uznać, że firma/organizacja nie przetwarza danych o stanie zdrowia. Zidentyfikowanie osoby fizycznej nie jest bowiem trwale uniemożliwione.

Czy numer telefonu to dana osobowa?

Na prośbę jednego z naszych Czytelników zmierzymy się dziś z problemem, czy numer telefonu to dana osobowa.

telefon

Wyobraźmy sobie, że jako ABI doradzamy naszemu mocodawcy, w jaki sposób należy dostosować smsowy konkurs do wymogów ustawy o ochronie danych osobowych. Konkurs polegać ma na tym, że w jednym z branżowych pism pojawi się ulotka reklamowa konkursu, zachęcająca czytelników do wysłania na podany numer telefonu wiadomości z wymyślonym przez czytelnika nowym hasłem reklamowych organizatora konkursu. Czy numer telefonu to dana osobowa? To podstawowe i najważniejsze pytanie w tym momencie (pozostałe kwestie związane z ochroną danych osobowych przy prowadzeniu konkursów zostaną omówione w innych artykułach). Odpowiedź na nie przesądza w omawianym przypadku o tym, czy do oceny konkursu stosować należy ustawę o ochronie danych osobowych.

Numer telefonu to ciąg cyfr identyfikujących abonenta telefonicznego, których wybranie za pomocą urządzeń telekomunikacyjnych (telefon, telefaks, modem) powoduje zestawienie połączenia, przy wykorzystaniu publicznej sieci telefonicznej, z żądanym abonentem (któremu ten numer został przypisany przez operatora telekomunikacyjnego). Format i schemat wybierania numerów telefonicznych w Polsce są określone przez ministra właściwego ds. łączności (obecnie Minister Administracji i Cyfryzacji) w Planie Numeracji Krajowej dla publicznych sieci telefonicznych. Z kolei numery telefoniczne przydziela operatorom Prezes Urzędu Komunikacji Elektronicznej (UKE). Skoro już wiemy co to jest numer telefonu od strony technicznej możemy przejść do sedna sprawy.

Definicję pojęcia danych osobowych zawiera art. 6 ustawy o ochronie danych osobowych. Poniżej zamieszczam jego treść:

Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Z samej definicji możemy błyskawicznie wyciągnąć trzy wnioski. Chodzi o:

  1. wszelkie informacje,
  2. dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby,
  3. przyporządkowane osobie fizycznej.

Czy numer telefonu spełnia te wymogi? Tutaj, a więc w miejscu gdzie przechodzimy z poziomu przepisów na praktykę, zaczynają się schody… Nie mam wątpliwości, że warunki wymienione w pkt 1 i 3 powyżej mogą być spełnione. Co jednak z wymogiem, by informacja dotyczyła zidentyfikowanej lub możliwej do zidentyfikowania osoby? Czy jeśli mamy numer telefonu pozwoli to nam na identyfikację lub choćby potencjalną identyfikację? Czy jeśli mamy bazę 100 numerów telefonów, to ile z nich powinno pozwalać na identyfikację (również potencjalną identyfikację) osoby? Czy odpowiedź na ostatnie pytanie w ogóle ma znaczenie w kontekście omawianego problemu? Co w takim razie z art. 6 ust. 3 ustawy, a więc ograniczeniem definicji danych osobowych w przypadku, gdy ustalenie tożsamości wymagałoby nadmiernych kosztów czasu, lub działań? Co na to GIODO? W tym miejscu pozwolę sobie na dygresję. Nie wiem jak Ty Czytelniku, ale ja mam wrażenie, że im bardziej staram się znaleźć odpowiedź, tym więcej pojawia się pytań i niewiadomych. Tak to jest w branży ochrony danych osobowych… Pora na chwilę oddechu i zaraz wracam w następnej linii…

Moim osobistym zdaniem, numer telefonu pozwala zazwyczaj na identyfikację a jeszcze częściej na potencjalną identyfikację. Gdybyśmy stworzyli standardowy wzorzec człowieka, który korzystając ze standardowo dostępnych narzędzi miałby przyporządkować numer telefonu do jego właściciela, to jestem zdania, że w standardowej sytuacji operacja zakończyłaby się sukcesem i nastąpiłaby identyfikacja. W dobie książek telefonicznych, internetu, poczty elektronicznej nie wydaje się to trudne. Powyższe przesądza moim zdaniem również o tym, że ograniczenie definicji danych osobowych zawarte w art. 6 ust. 3 ustawy nie będzie miało w przypadku numeru telefonu zastosowania. Nie ma znaczenia czy mamy jeden numer telefonu czy więcej – ten wątek związany jest z tematem zbioru danych, ale o tym innym razem.

Oczywiście takie ujęcie tematu, że numer telefonu będzie zawsze daną osobową byłoby błędne. Na potrzeby niniejszego opracowania byłbym bardziej skłonny powiedzieć, że co do zasady, w standardowej sytuacji tak będzie. Oczywiście jeśli mamy bazę numerów, zdecydowanie bezpieczniej z punktu widzenia administratora danych jest przyjąć, że posiadając numery telefonów – administrator przetwarza dane osobowe. Jeden z moich znajomych zajmujących się bezpieczeństwem w IT odpowiedział na moje pytanie o identyfikację właściciela numeru telefonu w ten sposób:

Chcesz poznać imię i nazwisko właściciela numeru telefonu? Wykręć numer i zapytaj z kim masz przyjemność.

Fakty są takie, że odbierając połączenie od nieznanego mi numeru faktycznie się przedstawiam imieniem i nazwiskiem… Jeśli moje argumenty nie są w tej materii przekonujące, proszę o ciętą ripostę w komentarzach.

Bardzo trudno znaleźć jakiekolwiek przesądzające rozstrzygnięcie GIODO w tej materii. Na różnych spotkaniach w których biorą udział inspektorzy GIODO można usłyszeć sprzeczne informacje. Raz numer telefonu jest daną osobową, innym razem nie jest. Podobnie „lawirują” zazwyczaj wszelkiego rodzaju podmioty zajmujące się doradztwem w zakresie ochrony danych osobowych, a nawet kancelarie prawne. Udało mi się dotrzeć jednak do jednej z sygnalizacji GIODO. Sprawa dotyczyła ujawnienia prywatnych numerów telefonów policjantów. W tejże właśnie sygnalizacji (DOLiS-440-211/07) GIODO stwierdził, że:

W świetle przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również ustawą, nie budzi wątpliwości, iż numer telefonu jest daną osobową w rozumieniu art. 6 ust. 1 ustawybowiem dotyczy możliwej do zidentyfikowania osoby fizycznej. Ponadto wskazać należy, iż na podstawie art. 159 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 ze zm.) ww. dana objęta jest tajemnicą telekomunikacyjną.

Proszę jednak aż tak bardzo nie sugerować się przywołanym stanowiskiem GIODO. To tylko sygnalizacja…

Co na to Świat? Poniżej kilka cytatów.

Data Protection Technical Guidance – Determining what is personal data (opracowanie odpowiednika naszego GIODO w UK)

For example, if searching a public register or reverse directory would enable the individual to be identified from an address or telephone number, and this resource is likely to be used for this purpose, the address or telephone number data should be considered to be capable of identifying an individual.

 Judgment of the European Court of Justice C-101/2001 of 06.11.2003 (Lindqvist), § 27

The European Court of Justice has spoken in that sense when considering that „referring, on an internet page, to various persons and identifying them by name or by other means, for instance by giving their telephone number or information regarding their working conditions and hobbies, constitutes the processing of personal data […] within the meaning of […] Directive 95/46/CE.

Dla odmiany, odpowiednik GIODO w Australii twierdzi, że:

Finally, the ALRC suggested that information that simply allows an individual to be contacted—such as a stand alone telephone number, street address or IP address—would not, and should not, fall within the proposed definition of ‘personal information’.

Był to pierwszy artykuł, który pojawił się na prośbę jednego z Czytelników. Mam nadzieję, że udało się rzucić trochę światła na temat numeru telefonu w kontekście definicji danych osobowych. Jeżeli ktoś ma pomysł na następny wpis to bardzo proszę o kontakt. Z przyjemnością zmierzymy się z praktycznymi problemami związanymi ze stosowaniem przepisów o ochronie danych osobowych.

Wzór wniosku o udostępnienie danych osobowych

Jako ciekawostkę zamieszczam wzór wniosku o udostępnienie danych osobowych, który stanowi załącznik nr 1 do nieobowiązującego już rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia wzoru wniosku o udostępnienie danych osobowych, zgłoszenia zbioru danych do rejestracji oraz imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 1998 r. Nr 80, poz. 522, ze zm.). Rozporządzenie to obowiązywało jeszcze w czasie, gdy obowiązywał art. 29 ustawy o ochronie danych osobowych, dotyczący udostępniania danych osobowych.

Wraz z jedną z nowelizacji prawa, derogowano ww. rozporządzenie. Niestety… Szkoda, ponieważ aktualnie brakuje nam powszechnie aprobowanego wzoru wniosku o udostępnienie danych osobowych. Pomijam tutaj kwestię, że aktualnie nie ma wymogu formy pisemnej wniosku o udostępnienie danych osobowych (co nawiasem mówiąc, jest moim zdaniem dużym błędem ustawodawcy). Dlaczego więc zamieszczam nieobowiązujący wzór wniosku o udostępnienie danych osobowych? Ponieważ, jest całkiem „niezły” i spokojnie może posłużyć, każdemu zainteresowanemu (szczególnie administratorowi bezpieczeństwa informacji), jako baza.