RODO anonimizacja i pseudonimizacja.

RODO anonimizacja pseudonimizacja

Anonimizacja oraz pseudonimizacja – objaśnienia (RODO).

Opierając się na treści nowego unijnego rozporządzenia ogólnego o ochronie danych (RODO) oraz przyjętej w dniu 10 kwietnia 2014 r. opinii 05/2014 w sprawie technik anonimizacji, wskazujemy na różnice pomiędzy obydwoma pojęciami.

Podstawowa różnica polega na tym, że skutkiem anonimizacji jest nieodwracalne uniemożliwienie identyfikacji osoby. Natomiast przy zastosowaniu pseudonimizacji nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej.

Anonimizacja.

Jak wskazano w ww. opinii, skuteczne rozwiązanie w zakresie anonimizacji uniemożliwia wszystkim stronom wyodrębnienie konkretnej osoby fizycznej ze zbioru danych. Uniemożliwia też, tworzenie powiązań między dwoma zapisami w zbiorze danych (lub między dwoma oddzielnymi zbiorami) i wnioskowanie jakichkolwiek informacji z tych danych. Przy stosowaniu anonimizacji samo usunięcie elementów umożliwiających bezpośrednią identyfikację nie wystarcza do zapewnienia aby zidentyfikowanie osoby (której dane dotyczą) nie było już możliwe. Często konieczne będzie podjęcie dodatkowych środków w celu zapobieżenia identyfikacji takiej osoby. Proces anonimizacji polega na tym, by nie istniała już możliwość wykorzystania danych do zidentyfikowania osoby fizycznej za pomocą „wszystkich sposobów, jakimi może posłużyć się” administrator danych lub osoba trzecia. Istotnym czynnikiem jest fakt, że przetwarzanie musi być nieodwracalne. Jeżeli anonimizacja została przeprowadzona w sposób skuteczny nie będziemy już przetwarzać danych osobowych, w rozumieniu ustawy czy RODO.

Jeżeli natomiast chodzi o pseudonimizację, to w istocie należy uznać ją za środek bezpieczeństwa. Nie jest to natomiast metoda anonimizacji.

Pseudonimizacja.

Pseudonimizacja polega na zastępowaniu jednego atrybutu (z reguły atrybutu nietypowego) w zapisie innym atrybutem. W związku z tym nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej. Dlatego też stosowanie samej pseudonimizacji nie będzie skutkowało anonimowym zbiorem danych.

Przykładowe metody pseudonimizacji opisane w ww. opinii to np.:

  • szyfrowanie z kluczem tajnym:

W tym przypadku posiadacz klucza może z łatwością ponownie zidentyfikować każdą osobę, której dane dotyczą, poprzez odszyfrowanie zbioru danych.

  • funkcja skrótu:

Polega na skróceniu danych osobowych do określonych wartości np.:

– imię i nazwisko skracamy do inicjałów;

– numer i adres zamieszkania do pierwszych liter ulicy i miejscowości.

  • tokenizacja:

Technika ta jest zwykle stosowana w sektorze finansowym w celu zastąpienia numerów identyfikacyjnych kart wartościami, które ograniczają ich użyteczność dla osoby trzeciej. Tokenizacja polega na stosowaniu mechanizmów szyfrowania jednokierunkowego lub na przypisaniu za pomocą funkcji indeksu, sekwencji liczb lub losowo wygenerowanych liczb, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych .

W kontekście stosowania RODO podkreśla się, że pseudonimizacja może być jedną z metod zabezpieczenia danych. Zmniejsza ryzyko dla osób, których dane dotyczą, oraz pomaga administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

Istotne jednak jest, że tylko takie przetworzenie danych osobowych, które trwale uniemożliwia identyfikację osoby fizycznej (anonimizacja) lub wręcz usunięcie/zniszczenie danych skutkuje tym, że nie przetwarzamy już danych osobowych. Czyli nie musimy mieć podstawy prawnej do ich przetwarzania.

Anonimizacja i pseudonimizacja w firmach/organizacjach.

W kontekście przetwarzania danych osobowych przez firmy/organizacje, pamiętać należy, że informacje stanowiące dane osobowe, do których przetwarzania nie ma podstaw prawnych (np.: o stanie zdrowia dłużników) nie będą danymi, tylko w przypadku gdy w sposób nieodwracalny nie będzie można zidentyfikować osoby fizycznej (tj. np. dłużnika). Technika polegająca np.: na fizycznym rozdzieleniu danych identyfikacyjnych dłużnika i dotyczących jego zadłużenia od danych dotyczących jego stanu zdrowia i powiązanie ich jedynie poprzez przypisanie określonego numeru będzie przykładem pseudonimizacji. Nie można w takim przypadku uznać, że firma/organizacja nie przetwarza danych o stanie zdrowia. Zidentyfikowanie osoby fizycznej nie jest bowiem trwale uniemożliwione.

Czy dane z CEIDG będą jawne?

Przedmiotem dzisiejszego wpisu jest omówienie nowych zasad korzystania z danych ujętych w CEIDG[1]. Zmiany o których mowa są związane z nowelizacją ustawy o swobodzie działalności gospodarczej. Komentowane przeze mnie przepisy wejdą w życie w maju następnego roku. Z uwagi na wagę zagadnienia postaram się wskazać na podstawowe cele i skutki nowelizacji z punktu widzenia ochrony danych osobowych.
W pierwszych słowach uzasadnienia projektu do ustawy czytamy, że konieczne jest zaproponowanie kolejnych rozwiązań prawnych mających na celu sprawniejszą i skuteczniejszą obsługę przedsiębiorców. Wprowadzenie zaproponowanych zmian przyczyni się również do skuteczniejszego wykonywania zadań związanych z prowadzeniem rejestru CEIDG, nałożonych na Ministra Gospodarki ustawą o swobodzie działalności gospodarczej.

W ramach wstępu przypomnijmy sobie jak sprawa wygląda obecnie. Zgodnie z literalnym brzmieniem art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej ewidencja działalności gospodarczej była jawna i dane osobowe w niej zawarte nie podlegały przepisom ustawy o ochronie danych osobowych. Taki stan trwał do dnia 31 grudnia 2011 roku. Później uchylono tą regulacje i z dniem 1 stycznia 2012r. dane przedsiębiorców dostępne w CEIDG podlegały ochronie na gruncie ustawy o ochronie danych osobowych.[2]

Ale to już przeszłość. Skupmy się na tym co będzie. Zgodnie z nowelizacją ustawy o swobodzie działalności gospodarczej, z dniem 18 maja 2016 roku jawne dane i informacje udostępniane w CEIDG nie podlegają ustawie o ochronie danych osobowych. Wyjątek stanowią jedynie przepisy odnoszące się do kontroli przetwarzania danych przez GIODO i zabezpieczeniu danych osobowych. Jak widać zmiany są ogromne. Przyjrzyjmy się im po kolei.

Literalne brzmienie dodanego art. 39 b

„Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 tej ustawy.”

Jakie dane przedsiębiorców z CEIDG są jawne? Zgodnie z art. 37 ustawy o swobodzie działalności gospodarczej CEIDG udostępnia dane określone w art. 25 ww. ustawy z wyjątkiem numeru PESEL, daty urodzenia oraz adresu zamieszkania, o ile nie jest on taki sam jak miejsce wykonywania działalności gospodarczej. Art. 25 ustawy o swobodzie działalności gospodarczej wprowadza szeroki katalog informacji jakie są jawne. Jest to m.in. numer identyfikacyjny REGON, numer identyfikacyjny NIP, informacja o obywatelstwie polskim przedsiębiorcy, data rozpoczęcia działalności gospodarczej, adres poczty elektronicznej przedsiębiorcy oraz jego strony internetowej, informacje o istnieniu lub ustaniu małżeńskiej wspólności majątkowej. Podkreślenia wymaga stwierdzenie, że dane osobowe zawarte w ewidencji nie podlegają przepisom ustawy o ochronie danych osobowych należy, jak się wydaje , odnosić wyłącznie do udostępniania danych, nie zaś do ich rozpowszechniania lub przetwarzania przez osoby, którym je udostępniono[3].

 Jakie zmiany dla procesu przetwarzania danych wniesie komentowana nowelizacja? Bez wątpienia będzie można „łatwiej” przetwarzać dane przedsiębiorców. W obecnym stanie prawnym przetwarzanie danych osób ujętych w CEIDG jest objęte takimi samymi wymogami jak przetwarzania danych osób fizycznych. Jako przykładu możemy użyć przetwarzania danych z CEIDG w celach marketingowych. Jeżeli dzisiaj chcielibyśmy w ten sposób przetwarzać dane, to powinniśmy uprzednio dopełnić obowiązku informacyjnego z art. 25 ustawy o ochronie danych osobowych oraz zebrać zgody na przetwarzanie danych w celach marketingowych. Należałoby również zarejestrować odpowiedni zbiór danych w GIODO o ile wcześniej nie był zarejestrowany. Dopiero po spełnieniu wskazanych wymagań (oraz pozostałych z ustawy o ochronie danych osobowych) mogliśmy wysłać naszą ofertę marketingową.
W świetle znowelizowanych przepisów musimy wyłącznie odpowiednio zabezpieczyć pozyskane z CEIDG informacje. Odpowiednio, czyli spełniając wymagania wskazane w rozdziale 5 ustawy o ochronie danych osobowych. Warto podkreślić, iż zgodnie z nowymi przepisami nie musimy już zbierać zgód (czy zapewnić inną podstawę przetwarzania danych), dopełniać obowiązku informacyjnego czy rejestrować zbioru ale dalej powinniśmy w sposób odpowiedni zabezpieczać posiadane dane. Poprzez odpowiednie zabezpieczenia należy rozumieć nie tylko np. nie wyrzucanie dokumentów na śmieci ale również posiadanie polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym czy wydanie upoważnień do przetwarzania danych.

Ale to nie koniec zmian jakie przyniesie nowelizacja ustawy o swobodzie działalności gospodarczej. Nowelizacja dodaje kolejne przepisy odnoszące się do ochrony danych osobowych. Wskazuje na kwestie udostępnia danych z CEIDG. I tak:

  1. Dane dostępne w CEIDG mogą być nieodpłatnie udostępniane po uprzednim ustaleniu z ministrem właściwym do spraw gospodarki warunków udostępniania tych danych
  2. Podmioty, którym udostępniono dane CEIDG w trybie ust. 1, nie mogą przekazywać tych danych, ani ich fragmentów, innym podmiotom
  3. W zakresie nieuregulowanym w ust. 1 i 2 do ponownego wykorzystywania danych CEIDG stosuje się przepisy ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej
  4. CEIDG udostępnia zawarte w niej dane i informacje o uzyskaniu, cofnięciu, utracie lub wygaśnięciu uprawnień wynikających z koncesji czy licencji, a także informacji o zakazie wykonywania działalności gospodarczej organom państwowym w celu realizacji ich ustawowych zadań. Analogiczne organy państwowe nie mogą dalej przekazywać uzyskanych informacji, ani ich fragmentów

W przedmiotowym wpisie staram się wskazać na podstawowe zmiany jakie wejdą w życie w maju 2016 r.  Na chwilę obecną trudno jest mi jednoznacznie stwierdzić czy nowelizacja jest dobra czy też zła. Na pewno wzbudzi kontrowersje i stanie się zalążkiem do przyszłych rozważań nad skutecznością przyjętych rozwiązań . Czy nie jest tak, że cechą demokratycznego państwa jest pewność, stabilność i bezpieczeństwo prawa? Czy jawność informacji o przedsiębiorcach zmniejszy automatycznie ilość oszustw? Na chwilę obecną pytania te zostawiam bez odpowiedzi.

[1] Ustawa z dnia 25 września 2015 r. o zmianie ustawy o swobodzie działalności gospodarczej oraz niektórych innych ustaw

[2] http://www.giodo.gov.pl/1520021/j/pl/

[3] Andrzej Powałowski, Komentarz do art.7(a) ustawy – Prawo działalności gospodarcze, ABC, 2007

Nowe projekty rozporządzeń wykonawczych marzec 2015 r.

Nowe projekty rozporządzeń wykonawczych – w pplikoniższym artykule opiszemy najważniejsze zmiany związane z nowymi projektami rozporządzeń do znowelizowanej ustawy o ochronie danych osobowych. W ostatnich dniach na stronie internetowej Rządowego Centrum Legislacji zostały opublikowane nowe projekty rozporządzeń wykonawczych do znowelizowanych przepisów ustawy o ochronie danych osobowych:

  • projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych z dnia 13 marca 2015 r. (dalej: „rozporządzenie w sprawie sposobu prowadzenia rejestru zbiorów”)
  • projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratorów danych z dnia 4 marca 2015 r. (dalej: „rozporządzenie w sprawie zapewnienia przestrzegania przepisów ODO”)

Nowe projekty rozporządzeń wykonawczych: Rozporządzenie w sprawie sposobu prowadzenia rejestru zbiorów

Poprzedni projekt rozporządzenia w sprawie sposobu prowadzenia rejestru zbiorów datowany był na 14 stycznia 2015 r. Analiza obydwu projektów, tj. projektu z 14.01.2015 r. z projektem z 13.03.2015 r.  prowadzi do wniosków, że najważniejszymi zmianami są:

  • rozbudowa możliwości elektronicznego prowadzenia rejestru zbiorów danych osobowych poprzez dodanie do § 5 ust 1 – 3)„przez sporządzenie wydruku z systemu informatycznego administratora danych”, oraz
  • pozostawienie swobody w zakresie sposobu udostępniania rejestru podmiotów, którym administrator danych powierzył do przetwarzania dane osobowe.

W odniesieniu do pierwszej zmiany, administrator bezpieczeństwa informacji będzie miał możliwość, wyboru pomiędzy trzema, a nie dwoma jak było do tej pory sposobami prowadzenia rejestru zbiorów danych osobowych w formie elektronicznej. Oprócz prowadzenie rejestru za pośrednictwem strony internetowej administratora danych i stworzenia miejsca na stanowisku dostępowym w siedzibie administratora danych, możliwe także będzie prowadzenie rejestru przez sporządzenie wydruku z systemu informatycznego administratora danych. Dodanie trzeciej możliwości prowadzenia rejestru ma wymiar praktyczny, bowiem ogranicza możliwość ingerencji osób trzecich w systemy informatyczne administratora danych.

Jeżeli rejestr zbiorów danych osobowych prowadzony jest wyłącznie w formie papierowej to nie zmienia się sposób prowadzenia rejestru podmiotów, którym zostały powierzone dane osobowe do przetwarzania (§ 5 ust. 2 – administrator bezpieczeństwa informacji udostępnia do przeglądania każdemu zainteresowanemu jego treść w siedzibie lub miejsca zamieszkania administratora danych). Natomiast jeśli administrator danych prowadzi rejestr zbiorów danych w formie papierowej i elektronicznej albo tylko w formie elektronicznej to wtedy administrator bezpieczeństwa informacji decyduje o tym jak udostępniane będą informacje o rejestrze podmiotów, którym powierzył dane osobowe do przetwarzania. Może to zrobić w sposób opisany w § 5 ust. 1 lub w sposób określony w § 5 ust. 2, czyli ma możliwość prowadzenia rejestru podmiotów, którym powierzył przetwarzanie danych osobowych w formie papierowej lub elektronicznej. Zatem administrator bezpieczeństwa informacji może np. prowadzić rejestr zbiorów danych w formie elektronicznej ale rejestr podmiotów, którym powierzył przetwarzanie danych osobowych, już w formie papierowej. Oczywiście z punktu widzenia administratora bezpieczeństwa informacji taka regulacja jest korzystniejsza z uwagi na większą elastyczność formy prowadzenia i udostępniania ww. rejestrów.

Inne zmiany w rozporządzeniu w sprawie prowadzenia rejestru zbiorów danych dotyczą technicznych sposobów prowadzenie rejestru (zmiany w § 3 ust. 2-4 projektu) oraz tego, że ABI powinien wpisać zbiór danych do rejestru przed rozpoczęciem przetwarzania danych osobowych (zmiany w § 4 ust. 1 pkt. 1 projektu). Związane są one z dostosowaniem do brzmienia przepisów o ochronie danych osobowych.

Nowe projekty rozporządzeń wykonawczych: Rozporządzenie w sprawie zapewnienia przestrzegania przepisów ODO

W odniesieniu do poprzedniego projektu rozporządzenia w sprawie zapewnienia przestrzegania przepisów odo (projekt z dnia 18 grudnia 2014 r.) w nowym projekcie:

  • zostały zmienione definicje pojęć „sprawdzenia” i „sprawozdania” wymienione w § 2 pkt. 3 i 4 projektu rozporządzenia, zmiana ta ma charakter techniczny, eliminujący niepotrzebne elementy definicji;
  • pojęcie „sprawdzenie pozaplanowego” zostało zastąpione pojęciem „sprawdzenia doraźnego”, także zostały wyodrębnione trzy tryby sprawdzenia: planowane, doraźne i na wniosek GIODO (we wcześniejszym projekcie przewidywano tylko dwa tryby: na wniosek GIODO i dla administratora danych. W ramach tego drugiego można było wyodrębnić sprawdzenie planowane i pozaplanowane).
  • zaszły zmiany w zakresie planu sprawdzeń (§ 3 pkt. 3-8 projektu rozporządzenia), których większość ma charakter redakcyjny. Zwrócić jednak należy uwagę na nowy § 3 ust. 6, zgodnie z którym „zbiory danych oraz systemy informatyczne służące do przetwarzania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na dwa lata”.
  • został usunięty obowiązek sporządzania przez ABI programu sprawdzenia (§ 4 ust. 2 starego projektu rozporządzenia), jednak ABI przed każdym sprawdzeniem musi określić sposób i zakres dokumentowania sprawdzenia niezbędny do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do opracowania sprawozdania (§ 4 ust. 1 nowego projektu rozporządzenia);
  • zostały zmodyfikowane przepisy dotyczące zakresu czynności, jakie może w toku sprawdzenia podejmować ABI i sposobu ich dokumentowania. Zniknęła m.in. konieczność protokołowania niektórych czynności (np. ustne wyjaśnienia, czy oględziny), które to będą znajdowały się w jednej notatce, a nie odrębnym protokole. Postanowienia, iż ABI „może dokumentować” podejmowane czynności zostały zastąpione stwierdzeniem, iż ABI „dokumentuje” te czynności. Zmiana ta eliminuje potencjalną dobrowolność;
  • usunięta została możliwość wystąpienia o wydanie opinii przez osobę posiadającą wiedzę specjalistyczną (§ 4 ust. 8 starego projektu rozporządzenia), co nie oznacza, że ABI o taką opinie nie może wystąpić;
  • obowiązek zawiadomienia o zakresie sprawdzenia został przesunięty z osoby objętej sprawdzeniem na kierownika jednostki organizacyjnej objętej sprawdzeniem (§ 5 ust. 2 projektu rozporządzenia);
  • usunięty został obowiązek podpisywania sprawozdania w formie elektronicznej bezpiecznym podpisem elektronicznym lub profilem zaufanym ePUAP (§ 6 ust. 2 projektu rozporządzenia);
  • usunięty został obowiązek przechowywania dokumentów przeprowadzonego sprawdzenia przez okres 5 lat od dnia ich sporządzenia (§ 7 projektu rozporządzenia);
  • zmieniony został zakres nadzoru nad środkami technicznymi i organizacyjnymi poprzez zastąpienie słowa „skuteczności” słowami „zgodności ze stanem faktycznym” (§ 8 pkt. 4 projektu rozporządzenia);
  • ABI zyskał możliwość przeprowadzania weryfikacji dokumentacji ochrony danych osobowych na podstawie zgłoszeń osób trzecich (§ 8 ust. 3 nowego projektu rozporządzenia);
  • Usunięte zostały wszystkie przepisy przejściowe, m.in. te mówiące o wyłączeniu spełnienia wymagań w razie wdrożenia normy ISO 27001;

Zaproponowane zmiany w rozporządzeniu w sprawie zapewnienia przestrzegania przepisów o ochronie danych osobowych należy ocenić pozytywnie, bowiem projektodawca dostosował w końcu projekt rozporządzenia do wymogów wynikających z dyspozycji art. 36 ust. 9 pkt. 1 ustawy o ochronie danych osobowych. Nie oznacza to jednak, że nie ustrzegł się błędów, jakim jest m.in. fakt, że pomimo usunięcia § 7 nie zmieniono numeracji kolejnych paragrafów. Myślę, że nie jest to ostateczne treść Rozporządzenia i należy oczekiwać kolejnej.