RODO anonimizacja i pseudonimizacja.

RODO anonimizacja pseudonimizacja

Anonimizacja oraz pseudonimizacja – objaśnienia (RODO).

Opierając się na treści nowego unijnego rozporządzenia ogólnego o ochronie danych (RODO) oraz przyjętej w dniu 10 kwietnia 2014 r. opinii 05/2014 w sprawie technik anonimizacji, wskazujemy na różnice pomiędzy obydwoma pojęciami.

Podstawowa różnica polega na tym, że skutkiem anonimizacji jest nieodwracalne uniemożliwienie identyfikacji osoby. Natomiast przy zastosowaniu pseudonimizacji nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej.

Anonimizacja.

Jak wskazano w ww. opinii, skuteczne rozwiązanie w zakresie anonimizacji uniemożliwia wszystkim stronom wyodrębnienie konkretnej osoby fizycznej ze zbioru danych. Uniemożliwia też, tworzenie powiązań między dwoma zapisami w zbiorze danych (lub między dwoma oddzielnymi zbiorami) i wnioskowanie jakichkolwiek informacji z tych danych. Przy stosowaniu anonimizacji samo usunięcie elementów umożliwiających bezpośrednią identyfikację nie wystarcza do zapewnienia aby zidentyfikowanie osoby (której dane dotyczą) nie było już możliwe. Często konieczne będzie podjęcie dodatkowych środków w celu zapobieżenia identyfikacji takiej osoby. Proces anonimizacji polega na tym, by nie istniała już możliwość wykorzystania danych do zidentyfikowania osoby fizycznej za pomocą „wszystkich sposobów, jakimi może posłużyć się” administrator danych lub osoba trzecia. Istotnym czynnikiem jest fakt, że przetwarzanie musi być nieodwracalne. Jeżeli anonimizacja została przeprowadzona w sposób skuteczny nie będziemy już przetwarzać danych osobowych, w rozumieniu ustawy czy RODO.

Jeżeli natomiast chodzi o pseudonimizację, to w istocie należy uznać ją za środek bezpieczeństwa. Nie jest to natomiast metoda anonimizacji.

Pseudonimizacja.

Pseudonimizacja polega na zastępowaniu jednego atrybutu (z reguły atrybutu nietypowego) w zapisie innym atrybutem. W związku z tym nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej. Dlatego też stosowanie samej pseudonimizacji nie będzie skutkowało anonimowym zbiorem danych.

Przykładowe metody pseudonimizacji opisane w ww. opinii to np.:

  • szyfrowanie z kluczem tajnym:

W tym przypadku posiadacz klucza może z łatwością ponownie zidentyfikować każdą osobę, której dane dotyczą, poprzez odszyfrowanie zbioru danych.

  • funkcja skrótu:

Polega na skróceniu danych osobowych do określonych wartości np.:

– imię i nazwisko skracamy do inicjałów;

– numer i adres zamieszkania do pierwszych liter ulicy i miejscowości.

  • tokenizacja:

Technika ta jest zwykle stosowana w sektorze finansowym w celu zastąpienia numerów identyfikacyjnych kart wartościami, które ograniczają ich użyteczność dla osoby trzeciej. Tokenizacja polega na stosowaniu mechanizmów szyfrowania jednokierunkowego lub na przypisaniu za pomocą funkcji indeksu, sekwencji liczb lub losowo wygenerowanych liczb, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych .

W kontekście stosowania RODO podkreśla się, że pseudonimizacja może być jedną z metod zabezpieczenia danych. Zmniejsza ryzyko dla osób, których dane dotyczą, oraz pomaga administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

Istotne jednak jest, że tylko takie przetworzenie danych osobowych, które trwale uniemożliwia identyfikację osoby fizycznej (anonimizacja) lub wręcz usunięcie/zniszczenie danych skutkuje tym, że nie przetwarzamy już danych osobowych. Czyli nie musimy mieć podstawy prawnej do ich przetwarzania.

Anonimizacja i pseudonimizacja w firmach/organizacjach.

W kontekście przetwarzania danych osobowych przez firmy/organizacje, pamiętać należy, że informacje stanowiące dane osobowe, do których przetwarzania nie ma podstaw prawnych (np.: o stanie zdrowia dłużników) nie będą danymi, tylko w przypadku gdy w sposób nieodwracalny nie będzie można zidentyfikować osoby fizycznej (tj. np. dłużnika). Technika polegająca np.: na fizycznym rozdzieleniu danych identyfikacyjnych dłużnika i dotyczących jego zadłużenia od danych dotyczących jego stanu zdrowia i powiązanie ich jedynie poprzez przypisanie określonego numeru będzie przykładem pseudonimizacji. Nie można w takim przypadku uznać, że firma/organizacja nie przetwarza danych o stanie zdrowia. Zidentyfikowanie osoby fizycznej nie jest bowiem trwale uniemożliwione.

Jak prowadzić rejestr zbiorów danych osobowych

rejestr-zbiorówJedną z kluczowych zmian wynikających z nowelizacji ustawy o ochronie danych osobowych jest obowiązek prowadzenia rejestru zbiorów danych osobowych.
O konieczności prowadzenia ww. rejestru stanowi art. 36 ust. 2 pkt 2 ustawy o ochronie danych osobowych. Należy podkreślić, iż sporządzenie i prowadzenie rejestru zbiorów należy do nowych obowiązków Administratora Bezpieczeństwa Informacji.
Rejestr zbiorów danych osobowych ma być prowadzony w formie jawnej. Wymóg posiadania rejestru jest związany z brakiem rejestracji zbiorów w GIODO. Tak jak pisaliśmy we wcześniejszych artykułach, administrator danych, który wyznaczy ABI będzie mógł liczyć na pewne „udogodnienia”. Jednym z takich ułatwień jest brak obowiązku rejestracji zbiorów zawierających dane zwykłe w GIODO. Jednakże w zamiana za zwolnienie z rejestracji i aktualizacji ustawodawca przewidział konieczność prowadzenia przez ABI, wewnętrznego, jawnego rejestru zbiorów. Jeżeli administrator danych nie powołał ABI, to należy uznać, iż nie ma obowiązku prowadzenia rejestru zbiorów danych osobowych.

W rejestrze mają być uwzględnione wszystkie zbiory za wyjątkiem tych, zwolnionych z obowiązku rejestracji na podstawie art. 43 ust. 1 ustawy o ochronie danych osobowych. Szczegółowy tryb związany z prowadzeniem zbioru danych ma zostać określony w Rozporządzeniu Ministra Administracji i Cyfryzacji  w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych (obecnie na etapie projektu).

Zgodnie z ww. rozporządzeniem, rejestr zbiorów danych osobowych może być prowadzony zarówno w formie papierowej jak i elektronicznej.

W odniesieniu do każdego ze zbiorów (za wyjątkiem tych zwolnionych z rejestracji na podstawie art. 43 ust.1 ustawy o ochronie danych osobowych) w rejestrze powinny znaleźć się następujące informacje:

1) nazwa zbioru danych;

2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;

3) jeżeli został wyznaczony, oznaczenie przedstawiciela administratora danych, o którym mowa w art. 3la ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej „ustawą”, i adres jego siedziby lub miejsca zamieszkania;

4) w przypadku powierzenia przetwarzania danych, oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy i adres jego siedziby lub miejsca zamieszkania;

5) podstawa prawna upoważniająca do prowadzenia zbioru danych;

6) cel przetwarzania danych w zbiorze;

7) opis kategorii osób, których dane są przetwarzane w zbiorze;

8) zakres danych przetwarzanych w zbiorze;

9) sposób zbierania danych do zbioru;

10) sposób udostępniania danych ze zbioru;

11) oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;

12) informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego w rozumieniu art. 7 pkt 7 ustawy.

W rejestrze należy również podać datę aktualizacji oraz wykreślenia zbioru. Zmian należy dokonywać niezwłocznie po ich powstaniu w zbiorze. Warto pamiętać, że rozporządzenie wymaga, aby wszystkie wymagane informacje były podane w powszechnie zrozumiałej formie.

Widać więc, że wymagane informacje jakie mają się znaleźć w rejestrze zbiorów są zgodne z tymi, które są wymagane podczas uzupełniania zgłoszenia zbioru do rejestracji w GIODO. Nie musimy się więc obawiać, iż w razie wyznaczenia ABI będziemy mieli obowiązek udostępnić jakieś dodatkowe informacje na temat przetwarzanych danych osobowych.

Rejestr prowadzony w formie elektronicznej ma być jawny poprzez:

1) udostępnienie rejestru na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru,

lub

2) udostępnienie każdemu zainteresowanemu rejestru na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora.

W sytuacji prowadzenie rejestru w formie papierowej, rozporządzenie mówi o konieczności udostępnia treści rejestru przez administratora bezpieczeństwa informacji każdemu zainteresowanemu w siedzibie lub miejscu zamieszkania administratora danych.

 

Rejestracja zbioru danych osobowych w sklepie internetowym

wyszukiwarka_giodoW poprzednim artykule dotyczącym sklepów internetowych omówiliśmy jakie zbiory danych osobowych posiada statystyczny sklep internetowy. Część ze wskazanych zbiorów podlega rejestracji w GIODO. Wszystkie zaś zbiory powinny zostać uwzględnione w wykazie zbiorów będącym częścią Polityki bezpieczeństwa ochrony danych osobowych.

Do rozpatrzenia pod kątem rejestracji mamy następujące zbiory: Klienci, Konto, Marketing, Newsletter, Rejestr Korespondencji, Kadrowy oraz Baza Danych Kontrahentów. Sama kwestia rejestracji została omówiona w artykule „Rejestracja zbiorów – plusy i minusy”[1]. Generalną zasadą jest obowiązek rejestracji zbiorów z GIODO. Od wskazanego obowiązku są jednak liczne zwolnienia. W zgłoszeniu zbioru należy wskazać miedzy innymi podstawy przetwarzania danych. W poniższej artykule omówimy na podstawie jakich przesłanek są przetwarzane dane w określonym zbiorze.

Zbiór danych Klienci (rejestracja zbioru danych osobowych) zawiera dane osób, które nabyły jakieś produkty w naszym sklepie internetowym. Doszło więc do zawarcia umowy sprzedaż co jednocześnie jest podstawą przetwarzania danych zwykłych wskazaną w art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Dodatkowo, jako kolejną podstawę przetwarzania danych można wskazać art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Wskazana podstawa może mieć zastosowanie np. podczas udostępnienia danych producentowi określonego produktu w związku z np. naprawą gwarancyjną.

Kolejnym zbiorem posiadanym zazwyczaj przez administratorów danych prowadzących sklepy internetowe jest zbiór Konto (rejestracja zbioru danych osobowych). Jeżeli na stronie sklepu internetowego możemy się zarejestrować, to dane osobowe podane w trakcie rejestracji tworzą zbiór o wymienionej wyżej nazwie. Jeżeli rejestracja jest obowiązkowa, aby dokonać zakupu to zbiór danych Konto może obejmować również zbiór Klienci (jest wtedy tylko jeden zbiór). Podstawą przetwarzania danych w zbiorze Konto jest akceptacja regulaminu, a więc zawarcie umowy na warunkach opisanych w regulaminie (art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych). Dodatkowo, tutaj również jako podstawę można wskazać art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Zbiór danych Marketing (rejestracja zbioru danych osobowych) zawiera dane osobowe potencjalnych klientów oraz obecnych klientów. Dane zawarte w tym zbiorze są wykorzystywane do np. wysyłki mailowej zawierającej informacje o oferowanych przez sklep internetowy produktach. Podstawą przetwarzania danych w omawianym zbiorze będzie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych (zgoda) oraz art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Kolejnym zbiorem jest Newsletter (rejestracja zbioru danych osobowych). Podstawą przetwarzania danych osób, które zapisały się do naszego e-biuletynu może być zarówno art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych (jeżeli wpisując się do newslettera osoba akceptuje regulamin) lub 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, czyli przytaczany już wielokrotnie usprawiedliwiony interes administratora danych. Takie również podstawy są wskazywane w decyzjach GIODO.[2]

Ostatnim zbiorem podlegającym rejestracji w GIODO jest Rejestr Korespondencji. Podstawą przetwarzania danych osobowych nadawców i odbiorców korespondencji jest art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.

Zbiór Kadrowy jest zwolniony z obowiązku rejestracji na podstawie art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych. Zwolnieniu z obowiązku rejestracji podlega również zbiór Baza Danych Kontrahentów. W przypadku tego zbioru podstawą zwolnienia jest zarówno art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych jak i art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych.

 

[1] http://blog.e-odo.pl/2012/09/30/rejestracja-zbiorow-plusy-czy-minusy/

[2] DIS/DEC-1327/48391/09 dot. DIS-K-421/25/09