RODO anonimizacja i pseudonimizacja.

RODO anonimizacja pseudonimizacja

Anonimizacja oraz pseudonimizacja – objaśnienia (RODO).

Opierając się na treści nowego unijnego rozporządzenia ogólnego o ochronie danych (RODO) oraz przyjętej w dniu 10 kwietnia 2014 r. opinii 05/2014 w sprawie technik anonimizacji, wskazujemy na różnice pomiędzy obydwoma pojęciami.

Podstawowa różnica polega na tym, że skutkiem anonimizacji jest nieodwracalne uniemożliwienie identyfikacji osoby. Natomiast przy zastosowaniu pseudonimizacji nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej.

Anonimizacja.

Jak wskazano w ww. opinii, skuteczne rozwiązanie w zakresie anonimizacji uniemożliwia wszystkim stronom wyodrębnienie konkretnej osoby fizycznej ze zbioru danych. Uniemożliwia też, tworzenie powiązań między dwoma zapisami w zbiorze danych (lub między dwoma oddzielnymi zbiorami) i wnioskowanie jakichkolwiek informacji z tych danych. Przy stosowaniu anonimizacji samo usunięcie elementów umożliwiających bezpośrednią identyfikację nie wystarcza do zapewnienia aby zidentyfikowanie osoby (której dane dotyczą) nie było już możliwe. Często konieczne będzie podjęcie dodatkowych środków w celu zapobieżenia identyfikacji takiej osoby. Proces anonimizacji polega na tym, by nie istniała już możliwość wykorzystania danych do zidentyfikowania osoby fizycznej za pomocą „wszystkich sposobów, jakimi może posłużyć się” administrator danych lub osoba trzecia. Istotnym czynnikiem jest fakt, że przetwarzanie musi być nieodwracalne. Jeżeli anonimizacja została przeprowadzona w sposób skuteczny nie będziemy już przetwarzać danych osobowych, w rozumieniu ustawy czy RODO.

Jeżeli natomiast chodzi o pseudonimizację, to w istocie należy uznać ją za środek bezpieczeństwa. Nie jest to natomiast metoda anonimizacji.

Pseudonimizacja.

Pseudonimizacja polega na zastępowaniu jednego atrybutu (z reguły atrybutu nietypowego) w zapisie innym atrybutem. W związku z tym nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej. Dlatego też stosowanie samej pseudonimizacji nie będzie skutkowało anonimowym zbiorem danych.

Przykładowe metody pseudonimizacji opisane w ww. opinii to np.:

  • szyfrowanie z kluczem tajnym:

W tym przypadku posiadacz klucza może z łatwością ponownie zidentyfikować każdą osobę, której dane dotyczą, poprzez odszyfrowanie zbioru danych.

  • funkcja skrótu:

Polega na skróceniu danych osobowych do określonych wartości np.:

– imię i nazwisko skracamy do inicjałów;

– numer i adres zamieszkania do pierwszych liter ulicy i miejscowości.

  • tokenizacja:

Technika ta jest zwykle stosowana w sektorze finansowym w celu zastąpienia numerów identyfikacyjnych kart wartościami, które ograniczają ich użyteczność dla osoby trzeciej. Tokenizacja polega na stosowaniu mechanizmów szyfrowania jednokierunkowego lub na przypisaniu za pomocą funkcji indeksu, sekwencji liczb lub losowo wygenerowanych liczb, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych .

W kontekście stosowania RODO podkreśla się, że pseudonimizacja może być jedną z metod zabezpieczenia danych. Zmniejsza ryzyko dla osób, których dane dotyczą, oraz pomaga administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

Istotne jednak jest, że tylko takie przetworzenie danych osobowych, które trwale uniemożliwia identyfikację osoby fizycznej (anonimizacja) lub wręcz usunięcie/zniszczenie danych skutkuje tym, że nie przetwarzamy już danych osobowych. Czyli nie musimy mieć podstawy prawnej do ich przetwarzania.

Anonimizacja i pseudonimizacja w firmach/organizacjach.

W kontekście przetwarzania danych osobowych przez firmy/organizacje, pamiętać należy, że informacje stanowiące dane osobowe, do których przetwarzania nie ma podstaw prawnych (np.: o stanie zdrowia dłużników) nie będą danymi, tylko w przypadku gdy w sposób nieodwracalny nie będzie można zidentyfikować osoby fizycznej (tj. np. dłużnika). Technika polegająca np.: na fizycznym rozdzieleniu danych identyfikacyjnych dłużnika i dotyczących jego zadłużenia od danych dotyczących jego stanu zdrowia i powiązanie ich jedynie poprzez przypisanie określonego numeru będzie przykładem pseudonimizacji. Nie można w takim przypadku uznać, że firma/organizacja nie przetwarza danych o stanie zdrowia. Zidentyfikowanie osoby fizycznej nie jest bowiem trwale uniemożliwione.

Dane osobowe dziennikarzy

Dane osobowe dziennikarzy to temat poruszany zazwyczaj w kontekście przetwarzania danych osobowych przez dziennikarzy. Dziś podejdziemy do tego tematu od drugiej strony, a mianowicie poruszymy problem przetwarzania danych osobowych dziennikarzy przez działy marketingu i promocji. Wielokrotnie podczas prowadzonych przez nas audytów zgodności działania organizacji z przepisami o ochronie danych osobowych mieliśmy do czynienia z bazami danych dziennikarzy, które tworzone były przez działy PR. Dotyczy to oczywiście przede wszystkich większych podmiotów, które mają rozbudowane działy marketingu oraz promocji do tego stopnia, że wyznaczono osoby, które mają za zadanie utrzymywać kontakty z prasą. Z prasą, czyli z konkretnymi dziennikarzami. Taka sytuacja ma miejsce często np. w firmach farmaceutycznych, bankach i koncernach samochodowych. Warto pamiętać, że dziennikarze nie tylko prowadzą bazy danych dziennikarzy w celach kontaktowych, ale organizują również dla nich różnego typu eventy i wyjazdy – często zagraniczne.

Dane osobowe dziennikarzyZ punktu widzenia ochrony danych osobowych nie ma wątpliwości, że przy okazji ww. czynności dochodzi do przetwarzania danych osobowych. Często jednak słychać głosy, które traktują dane w postaci imienia, nazwiska, służbowego adresu poczty elektronicznej i numeru telefonu jako dane służbowe, a zatem informacji, które można swobodnie i bez skrępowania wykorzystywać. Taki pogląd jest błędny. Ustawa o ochronie danych osobowych nie przewiduje kategorii służbowych danych osobowych, a jedynie podział na dane tzw. zwykłe i wrażliwe (art. 27 ust. 1 ustawy o ochronie danych osobowych). Oczywiście nie oznacza to, że takiej kategorii danych nie możemy wyróżnić. Praktyka pokazuje, że tzw. dane służbowe są wyróżnianie przez administratorów danych a ramy prawne określone przez ustawę o ochronie danych osobowych pozwalają nawet na ich szczególne traktowanie (szczególnie w kontekście podstaw przetwarzania / wykorzystywania i ich przekazywania). Zgodnie ze stanowiskiem GIODO:

Zgodne z ustawą o ochronie danych osobowych jest tworzenie na podstawie informacji powszechnie dostępnych baz danych dziennikarzy, ponieważ ustawa o ochronie danych osobowych nie zakazuje pozyskiwania danych ze źródeł powszechnie dostępnych, nie jest też na to potrzebna zgoda Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zatem każdy może korzystać z danych umieszczonych np. w książce telefonicznej, Internecie czy prasie. Jednak, jeśli staje się ich administratorem, musi spełnić pewne wymagania z ustawy o ochronie danych osobowych.

Wracając do danych dziennikarzy. Załóżmy, że pracujemy w dziale PR banku – i jak to często się zdarza – posiadamy w arkuszu kalkulacyjnym tabelkę zawierającą dane osobowe dziennikarzy, z którymi utrzymujemy relacje, informujemy ich o nowych produktach i wydarzeniach ważnych dla banku. Co zrobić by dane osobowe pozyskiwać legalnie i móc je wykorzystywać w celach związanych z promocją marki?

Powinniśmy przede wszystkim zastanowić się, jaka będzie podstawa przetwarzania i jaki będzie zakres zbieranych danych osobowych dziennikarzy. Jeśli chodzi o tą drugą kwestię, powinniśmy brać pod uwagę jedynie dane służbowe dziennikarza a ich ilość ustalić na poziomie minimalnym, który pozwoli nam realizować ww. cele. Według mnie zatem wchodzi w grę pozyskiwanie takich danych dziennikarzy jak:

imię, nazwisko, służbowy adres poczty elektronicznej, służbowy numer telefonu komórkowe i stacjonarnego, miejsce pracy, historia współpracy

Proszę pamiętać, że jest to przykładowy zakres danych osobowych dot. zbioru dziennikarzy i u Państwa w organizacji może on wyglądać inaczej. Jako podstawę przetwarzania danych osobowych należy rozważyć art. 23 ust. 1 pkt 1 (zgoda na przetwarzanie danych osobowych) oraz pkt 5 (prawnie usprawiedliwiony interes administratora danych) ustawy o ochronie danych osobowych. Jako, że moim zdaniem nie dochodzi tutaj do naruszenia praw i wolności osoby, której dane dotyczą, a marketing nie będzie kierowany bezpośrednio do dziennikarzy, możemy zastosować tutaj przesłankę prawnie usprawiedliwionego celu. Oczywiście pamiętajmy, by w takim wypadku nie ingerować zbytnio w prywatność dziennikarza a jego dane osobowe wykorzystywać tylko w celach związanych z pełnieniem przez niego zawodu dziennikarza.

Aby legalnie przetwarzać omawiane dane konieczne jest również dopełnienie obowiązku informacyjnego określonego w art. 24 (jeśli dane pozyskujemy bezpośrednio od dziennikarza) lub art. 25 (jeśli dane pozyskujemy za pośrednictwem podmiotu trzeciego – np. redakcji prasowej) ustawy o ochronie danych osobowych.  Pamiętajmy, by w obowiązku informacyjnym określić precyzyjnie cel przetwarzania danych osobowych (np. promocja produktów i usług oferowanych przez administratora, informowanie o bieżącej działalności, organizacja wyjazdów informacyjnych dla prasy i telewizji, itd.).

Oprócz ww. obowiązków powinniśmy oczywiście co do zasady zarejestrować zbiór danych, chyba że, zgodnie z nowymi przepisami o ochronie danych osobowych, powołaliśmy Administratora Bezpieczeństwa Informacji. Omawiany zbiór danych powinniśmy opisać w dokumentacji przetwarzania danych osobowych oraz w odpowiedni go zabezpieczyć. Warto też pamiętać, że pracownicy działu PR powinni wprowadzać dane dziennikarzy do systemu informatycznego, który spełnia wymogi wynikające z przepisów o ochronie danych osobowych, a więc umożliwia m.in. automatyczne odnotowywanie daty pierwszego wprowadzenia danych do systemu oraz identyfikatora użytkownika, który wprowadził dane osobowe. Ten ostatni wymóg bywa często kontrolowany przez GIODO.

Ważnym wątkiem w dyskusji nad ochroną danych osobowych dziennikarzy jest także problem współpracy agenci PR ze swoimi klientami. Zdarza się coraz częściej, iż ci ostatni coraz częściej jako warunek nawiązania współpracy z agencją PR stawiają przekazanie przez agencję na rzecz klienta bazy danych dziennikarzy. Czy taki transfer danych jest legalny? Niestety co do zasady nie. Aby takie udostępnienie danych było legalne, należy zawrzeć odpowiednią umowę udostępnienia danych osobowych oraz spełnić obowiązki wynikające z ustawy o ochronie danych osobowych ciążące na administratorze danych (agencja PR) i odbiorcy danych (klient). Poniżej lista najważniejszych obowiązków:

Administrator danych (agencja PR)Odbiorca danych (klient)
  1. Poinformowanie dziennikarzy z bazy danych o fakcie udostępnienia danych (element obowiązku informacyjnego).
  2. Określenie podstawy udostępnienia danych osobowych (jedna z przesłanek określonych w art. 23 ustawy o ochronie danych osobowych).
  3. Aktualizacja w rejestrze zbiorów danych osobowych informacji na temat odbiorców danych osobowych (część D pkt 12 i 13 zgłoszenia).
  1. Dopełnienie względem dziennikarzy obowiązku informacyjnego, o którym mowa w art. 25 ustawy o ochronie danych osobowych.
  2. Legitymowanie się podstawą przetwarzania danych osobowych (jedna z przesłanek określonych w art. 23 ustawy o ochronie danych osobowych).
  3. Zarejestrowanie zbioru danych dziennikarzy.
  4. Uwzględnienie omawianego zbioru w polityce bezpieczeństwa.
  5. Zapewnienie odpowiednich środków techniczno-organizacyjnych zapewniających ochronę pozyskanych danych osobowych.

 

 

 

 

 

 

 

 

 

 

 

Podsumowując, powinniśmy pamiętać, iż:

  1. audytem z zakresu ochrony danych osobowych należy objąć także procesy przetwarzania danych w dziale PR,
  2. gromadzone dane w działach PR dane dziennikarze stanowią dane osobowe,
  3. zbierane dane dziennikarzy należą do kategorii służbowych danych osobowych i nie zawierają np. prywatnych numerów telefonów lub adres poczty elektronicznej,
  4. dane dot. dziennikarzy stanowią odrębny zbiór danych (do którego powinniśmy stosować wszystkie standardowe zasady wynikające z ustawy o ochronie danych osobowych),
  5. zbiór danych dot. dziennikarzy podlega obowiązkowi rejestracji w GIODO (chyba że administrator danych powołał Administratora Bezpieczeństwa Informacji lub przetwarza dane osobowe dziennikarzy bez wykorzystywania systemu informatycznego),
  6. należy przeszkolić pracowników działu PR z zasad ochrony danych osobowych.

Jak prowadzić rejestr zbiorów danych osobowych

rejestr-zbiorówJedną z kluczowych zmian wynikających z nowelizacji ustawy o ochronie danych osobowych jest obowiązek prowadzenia rejestru zbiorów danych osobowych.
O konieczności prowadzenia ww. rejestru stanowi art. 36 ust. 2 pkt 2 ustawy o ochronie danych osobowych. Należy podkreślić, iż sporządzenie i prowadzenie rejestru zbiorów należy do nowych obowiązków Administratora Bezpieczeństwa Informacji.
Rejestr zbiorów danych osobowych ma być prowadzony w formie jawnej. Wymóg posiadania rejestru jest związany z brakiem rejestracji zbiorów w GIODO. Tak jak pisaliśmy we wcześniejszych artykułach, administrator danych, który wyznaczy ABI będzie mógł liczyć na pewne „udogodnienia”. Jednym z takich ułatwień jest brak obowiązku rejestracji zbiorów zawierających dane zwykłe w GIODO. Jednakże w zamiana za zwolnienie z rejestracji i aktualizacji ustawodawca przewidział konieczność prowadzenia przez ABI, wewnętrznego, jawnego rejestru zbiorów. Jeżeli administrator danych nie powołał ABI, to należy uznać, iż nie ma obowiązku prowadzenia rejestru zbiorów danych osobowych.

W rejestrze mają być uwzględnione wszystkie zbiory za wyjątkiem tych, zwolnionych z obowiązku rejestracji na podstawie art. 43 ust. 1 ustawy o ochronie danych osobowych. Szczegółowy tryb związany z prowadzeniem zbioru danych ma zostać określony w Rozporządzeniu Ministra Administracji i Cyfryzacji  w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych (obecnie na etapie projektu).

Zgodnie z ww. rozporządzeniem, rejestr zbiorów danych osobowych może być prowadzony zarówno w formie papierowej jak i elektronicznej.

W odniesieniu do każdego ze zbiorów (za wyjątkiem tych zwolnionych z rejestracji na podstawie art. 43 ust.1 ustawy o ochronie danych osobowych) w rejestrze powinny znaleźć się następujące informacje:

1) nazwa zbioru danych;

2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;

3) jeżeli został wyznaczony, oznaczenie przedstawiciela administratora danych, o którym mowa w art. 3la ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej „ustawą”, i adres jego siedziby lub miejsca zamieszkania;

4) w przypadku powierzenia przetwarzania danych, oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy i adres jego siedziby lub miejsca zamieszkania;

5) podstawa prawna upoważniająca do prowadzenia zbioru danych;

6) cel przetwarzania danych w zbiorze;

7) opis kategorii osób, których dane są przetwarzane w zbiorze;

8) zakres danych przetwarzanych w zbiorze;

9) sposób zbierania danych do zbioru;

10) sposób udostępniania danych ze zbioru;

11) oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;

12) informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego w rozumieniu art. 7 pkt 7 ustawy.

W rejestrze należy również podać datę aktualizacji oraz wykreślenia zbioru. Zmian należy dokonywać niezwłocznie po ich powstaniu w zbiorze. Warto pamiętać, że rozporządzenie wymaga, aby wszystkie wymagane informacje były podane w powszechnie zrozumiałej formie.

Widać więc, że wymagane informacje jakie mają się znaleźć w rejestrze zbiorów są zgodne z tymi, które są wymagane podczas uzupełniania zgłoszenia zbioru do rejestracji w GIODO. Nie musimy się więc obawiać, iż w razie wyznaczenia ABI będziemy mieli obowiązek udostępnić jakieś dodatkowe informacje na temat przetwarzanych danych osobowych.

Rejestr prowadzony w formie elektronicznej ma być jawny poprzez:

1) udostępnienie rejestru na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru,

lub

2) udostępnienie każdemu zainteresowanemu rejestru na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora.

W sytuacji prowadzenie rejestru w formie papierowej, rozporządzenie mówi o konieczności udostępnia treści rejestru przez administratora bezpieczeństwa informacji każdemu zainteresowanemu w siedzibie lub miejscu zamieszkania administratora danych.