(RODO) – oświadczenie dotyczące ochrony danych

rodo reforma ochrony danych

Komisja Europejska – Oświadczenie

Oświadczenie wiceprzewodniczącego Andrusa Ansipa i komisarz Věry Jourovej na rok przed rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych

Bruksela, 24 maja 2017 r.

W ubiegłym roku zostały przyjęte przez UE nowe unijne standardy ochrony danych. Ich powodzenie zależy nie tylko od dostosowania przez państwa członkowskie przepisów krajowych do nowych zasad, ale również od wiedzy obywateli na temat ich nowych praw i od gotowości przedsiębiorstw w UE do stosowania nowych przepisów, kiedy te wejdą w życie.

Mamy rok na przeprowadzenie we współpracy ze wszystkimi państwami członkowskimi i z przedsiębiorstwami działań niezbędnych do skutecznego wdrożenia nowych standardów. Działania te powinny zostać zintensyfikowane i wzmocnione w celu zapewnienia harmonizacji i uniknięcia rozdrobnienia w realizacji planu. W ciągu najbliższego roku zainicjujemy też ogólnounijną kampanię mającą na celu podnoszenie świadomości Europejczyków w zakresie przysługujących im praw.

Dokładnie za rok Unia Europejska zacznie odnosić korzyści dzięki nowym normom w zakresie ochrony danych. W maju 2018 r. rozpocznie się stosowanie nowych przepisów ogólnego rozporządzenia o ochronie danych. Staną się one solidną podstawą dla rozwoju jednolitego rynku cyfrowego.

Nowe przepisy będą chronić podstawowe prawo obywateli UE do ochrony danych osobowych. Nowe, lepiej zrozumiałe przepisy przyniosą korzyści nam wszystkim. Przykładowo osoba, której dane wpadną w ręce hakerów lub zostaną ujawnione, będzie miała prawo dowiedzieć się o tym możliwie najszybciej.

Nowe przepisy ułatwią również obywatelom składanie skarg i dochodzenie odszkodowań, jeśli uznają oni, że ich prawa nie są przestrzegane. Niezależnie od tego, gdzie przechowywane są dane, konieczne będzie jedynie skontaktowanie się z najbliższym organem ochrony danych. Dzięki karom wynoszącym nawet 4% rocznych obrotów, władze będą w stanie wyegzekwować przestrzeganie nowych przepisów.

Przedsiębiorstwa skorzystają natomiast z większej pewności prawa, gdyż w całej UE wprowadzony zostanie jednolity zbiór przepisów. Przedsiębiorstwa będą miały do czynienia tylko z jednym organem nadzoru – a nie z 28. Nie tylko uprości to procedury, ale wpłynie również na zmniejszenie kosztów. Małe i średnie przedsiębiorstwa korzystać będą z wyłączeń, co ma zapewnić dostosowanie przepisów do potrzeb i możliwości małych firm. Mówiąc bardziej ogólnie, gospodarka oparta na danych może

umożliwić wzrost przedsiębiorstw, modernizację usług publicznych oraz wzmocnienie pozycji obywateli. Gospodarka oparta na danych wspiera wzrost gospodarczy, ułatwia modernizację usług publicznych oraz umacnia pozycję obywateli. Jako że dane nieosobowe nie wchodzą w zakres rozporządzenia o ochronie danych, swobodny przepływ tych danych może być regulowany na szczeblu krajowym lub regionalnym. Jeszcze w 2017 r. Komisja przedstawi wniosek ustawodawczy w celu zagwarantowania swobodnego przepływu danych oraz inny wniosek promujący dostęp do danych i ich wielokrotne wykorzystywanie.

W 2018 roku wysokie normy europejskie w zakresie ochrony danych staną się wreszcie faktem. Nadzwyczaj ważne jest, abyśmy zapewnili ich funkcjonowanie w praktyce.

Kontekst:

Pakiet reform dotyczących ochrony danych osobowych wszedł w życie w maju 2016 r. i będzie miał zastosowanie od maja 2018 r. Obejmuje on ogólne rozporządzenie o ochronie danych i dyrektywę o ochronie danych sektora policji i wymiaru sprawiedliwości w sprawach karnych.

STATEMENT/17/1436

http://europa.eu/rapid/press-release_STATEMENT-17-1436_pl.pdf

RODO anonimizacja i pseudonimizacja.

RODO anonimizacja pseudonimizacja

Anonimizacja oraz pseudonimizacja – objaśnienia (RODO).

Opierając się na treści nowego unijnego rozporządzenia ogólnego o ochronie danych (RODO) oraz przyjętej w dniu 10 kwietnia 2014 r. opinii 05/2014 w sprawie technik anonimizacji, wskazujemy na różnice pomiędzy obydwoma pojęciami.

Podstawowa różnica polega na tym, że skutkiem anonimizacji jest nieodwracalne uniemożliwienie identyfikacji osoby. Natomiast przy zastosowaniu pseudonimizacji nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej.

Anonimizacja.

Jak wskazano w ww. opinii, skuteczne rozwiązanie w zakresie anonimizacji uniemożliwia wszystkim stronom wyodrębnienie konkretnej osoby fizycznej ze zbioru danych. Uniemożliwia też, tworzenie powiązań między dwoma zapisami w zbiorze danych (lub między dwoma oddzielnymi zbiorami) i wnioskowanie jakichkolwiek informacji z tych danych. Przy stosowaniu anonimizacji samo usunięcie elementów umożliwiających bezpośrednią identyfikację nie wystarcza do zapewnienia aby zidentyfikowanie osoby (której dane dotyczą) nie było już możliwe. Często konieczne będzie podjęcie dodatkowych środków w celu zapobieżenia identyfikacji takiej osoby. Proces anonimizacji polega na tym, by nie istniała już możliwość wykorzystania danych do zidentyfikowania osoby fizycznej za pomocą „wszystkich sposobów, jakimi może posłużyć się” administrator danych lub osoba trzecia. Istotnym czynnikiem jest fakt, że przetwarzanie musi być nieodwracalne. Jeżeli anonimizacja została przeprowadzona w sposób skuteczny nie będziemy już przetwarzać danych osobowych, w rozumieniu ustawy czy RODO.

Jeżeli natomiast chodzi o pseudonimizację, to w istocie należy uznać ją za środek bezpieczeństwa. Nie jest to natomiast metoda anonimizacji.

Pseudonimizacja.

Pseudonimizacja polega na zastępowaniu jednego atrybutu (z reguły atrybutu nietypowego) w zapisie innym atrybutem. W związku z tym nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej. Dlatego też stosowanie samej pseudonimizacji nie będzie skutkowało anonimowym zbiorem danych.

Przykładowe metody pseudonimizacji opisane w ww. opinii to np.:

  • szyfrowanie z kluczem tajnym:

W tym przypadku posiadacz klucza może z łatwością ponownie zidentyfikować każdą osobę, której dane dotyczą, poprzez odszyfrowanie zbioru danych.

  • funkcja skrótu:

Polega na skróceniu danych osobowych do określonych wartości np.:

– imię i nazwisko skracamy do inicjałów;

– numer i adres zamieszkania do pierwszych liter ulicy i miejscowości.

  • tokenizacja:

Technika ta jest zwykle stosowana w sektorze finansowym w celu zastąpienia numerów identyfikacyjnych kart wartościami, które ograniczają ich użyteczność dla osoby trzeciej. Tokenizacja polega na stosowaniu mechanizmów szyfrowania jednokierunkowego lub na przypisaniu za pomocą funkcji indeksu, sekwencji liczb lub losowo wygenerowanych liczb, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych .

W kontekście stosowania RODO podkreśla się, że pseudonimizacja może być jedną z metod zabezpieczenia danych. Zmniejsza ryzyko dla osób, których dane dotyczą, oraz pomaga administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

Istotne jednak jest, że tylko takie przetworzenie danych osobowych, które trwale uniemożliwia identyfikację osoby fizycznej (anonimizacja) lub wręcz usunięcie/zniszczenie danych skutkuje tym, że nie przetwarzamy już danych osobowych. Czyli nie musimy mieć podstawy prawnej do ich przetwarzania.

Anonimizacja i pseudonimizacja w firmach/organizacjach.

W kontekście przetwarzania danych osobowych przez firmy/organizacje, pamiętać należy, że informacje stanowiące dane osobowe, do których przetwarzania nie ma podstaw prawnych (np.: o stanie zdrowia dłużników) nie będą danymi, tylko w przypadku gdy w sposób nieodwracalny nie będzie można zidentyfikować osoby fizycznej (tj. np. dłużnika). Technika polegająca np.: na fizycznym rozdzieleniu danych identyfikacyjnych dłużnika i dotyczących jego zadłużenia od danych dotyczących jego stanu zdrowia i powiązanie ich jedynie poprzez przypisanie określonego numeru będzie przykładem pseudonimizacji. Nie można w takim przypadku uznać, że firma/organizacja nie przetwarza danych o stanie zdrowia. Zidentyfikowanie osoby fizycznej nie jest bowiem trwale uniemożliwione.