czwartek 12 kwiecień 2018 | Robert Kamiński

Pseudonimizacja danych – co to właściwie jest?

Pseudonimizacja danych nie jest jedynie pojęciem wprowadzanym przez RODO. Już od pewnego czasu stała się np. częstą praktyką stosowaną w szkołach, w celu nieujawniania danych osobowych uczniów.

Po 25 maja br. wszystkie firmy bÄ™dÄ… musiaÅ‚y zadbać o odpowiedniÄ… ochronÄ™ przetwarzanych informacji. Jak przedsiÄ™biorcy majÄ… sobie poradzić z takim wyzwaniem w przypadku braku szczegóÅ‚owych wytycznych? Czy pseudonimizacja może być odpowiedziÄ… na to pytanie?

RODO kontra firmy

Europejskie rozporzÄ…dzenie narzuca wszystkim administratorom – czyli organom, jednostkom organizacyjnym, podmiotom lub osobom decydujÄ…cym o celach i Å›rodkach przetwarzania danych – obowiÄ…zek odpowiedniego zabezpieczenia danych osobowych. Obecnie firmy muszÄ… jedynie wykazać zgodność stosowanych Å›rodków bezpieczeÅ„stwa z rozporzÄ…dzeniem o Å›rodkach zabezpieczajÄ…cych z 2004 r. Po 25 maja br. sytuacja siÄ™ zmieni. To organizacje bÄ™dÄ… zobowiÄ…zane do samodzielnego ocenienia ryzyka naruszenia ochrony danych. RODO jedynie wskazuje ogólne obowiÄ…zki wdrożenia Å›rodków technicznych i organizacyjnych przetwarzania informacji, uwzglÄ™dniajÄ…cych m.in. charakter, zakres, kontekst, a także wprowadzenia polityk ochrony – wskazuje Marcin Kujawa, WTB.

Pseudonimizacja jako złoty środek?

RODO wprowadza pojÄ™cie pseudonimizacji, które oznacza przetworzenie danych osobowych w taki sposób, by nie można ich byÅ‚o przypisać konkretnej osobie, której one dotyczÄ…, bez użycia dodatkowego „klucza”. MówiÄ…c proÅ›ciej, to użycie zamiast np. imienia i nazwiska – liczby. Wymóg jest jeden, klucz z wÅ‚aÅ›ciwymi danymi do odszyfrowania powinny być przechowywane osobno. DziÄ™ki czemu nawet jeÅ›li doszÅ‚oby do wycieku, osoba nieupoważniona niewiele by siÄ™ z tych danych dowiedziaÅ‚a.

Ciekawe jest to, że pseudonimizacja od pewnego czasu stosowana jest w szkoÅ‚ach, gdzie oceny publikuje siÄ™ wraz z identyfikatorem ucznia zamiast jego imienia i nazwiska. Może być ona wygodnym sposobem na zabezpieczenie również wrażliwych danych, ponieważ znacznie zÅ‚agodzone bÄ™dÄ… wymogi dotyczÄ…ce ochrony informacji zapisanych w ten sposób. Warto wspomnieć, że można również zastosować anonimizacjÄ™ informacji, po której nie da siÄ™ ich przypisać  do konkretnych osób. Przez co nie muszÄ… być zabezpieczane na tak wysokim poziomie jak te które nie podlegajÄ… procesowi anonimizacji – mówi Marcin Kujawa, WTB.

Co więcej?

Należy pamiÄ™tać, że pseudonimizacjia to nie to samo co  anonimizacja, która jest  modyfikacjÄ… danych uniemożliwiajÄ…cÄ… identyfikacjÄ™ osoby fizycznej, pseudonimizacja jest procesem odwracalnym. ZwiÄ™ksza ona bezpieczeÅ„stwo informacji, przez co pozostajÄ… one wedÅ‚ug prawa nadal danymi osobowymi. Należy zauważyć, że rozporzÄ…dzenie traktuje to narzÄ™dzie jako pomocnicze, które może być wykorzystane przez Administratorów.

PrzedsiÄ™biorcy powinni zwrócić uwagÄ™, że to jakie narzÄ™dzie ochrony zastosujÄ… wynikać bÄ™dzie z analizy ryzyka w danej firmie. Należy zauważyć, że rozporzÄ…dzenie traktuje pseudonimizacjÄ™ jako narzÄ™dzie pomocnicze, które może, ale nie musi być wykorzystane przez Administratorów. Zasadność użycia danego sposobu bezpieczeÅ„stwa powinno być uwzglÄ™dnione już w samej fazie projektowania nowego systemu   – podsumowuje Marcin Kujawa, WTB.