Po 25 maja br. wszystkie firmy bÄ™dÄ… musiaÅ‚y zadbać o odpowiedniÄ… ochronÄ™ przetwarzanych informacji. Jak przedsiÄ™biorcy majÄ… sobie poradzić z takim wyzwaniem w przypadku braku szczegóÅ‚owych wytycznych? Czy pseudonimizacja może być odpowiedziÄ… na to pytanie?
RODO kontra firmy
Europejskie rozporzÄ…dzenie narzuca wszystkim administratorom – czyli organom, jednostkom organizacyjnym, podmiotom lub osobom decydujÄ…cym o celach i Å›rodkach przetwarzania danych – obowiÄ…zek odpowiedniego zabezpieczenia danych osobowych. Obecnie firmy muszÄ… jedynie wykazać zgodność stosowanych Å›rodków bezpieczeÅ„stwa z rozporzÄ…dzeniem o Å›rodkach zabezpieczajÄ…cych z 2004 r. Po 25 maja br. sytuacja siÄ™ zmieni. To organizacje bÄ™dÄ… zobowiÄ…zane do samodzielnego ocenienia ryzyka naruszenia ochrony danych. RODO jedynie wskazuje ogólne obowiÄ…zki wdrożenia Å›rodków technicznych i organizacyjnych przetwarzania informacji, uwzglÄ™dniajÄ…cych m.in. charakter, zakres, kontekst, a także wprowadzenia polityk ochrony – wskazuje Marcin Kujawa, WTB.
Pseudonimizacja jako złoty środek?
RODO wprowadza pojÄ™cie pseudonimizacji, które oznacza przetworzenie danych osobowych w taki sposób, by nie można ich byÅ‚o przypisać konkretnej osobie, której one dotyczÄ…, bez użycia dodatkowego „klucza”. MówiÄ…c proÅ›ciej, to użycie zamiast np. imienia i nazwiska – liczby. Wymóg jest jeden, klucz z wÅ‚aÅ›ciwymi danymi do odszyfrowania powinny być przechowywane osobno. DziÄ™ki czemu nawet jeÅ›li doszÅ‚oby do wycieku, osoba nieupoważniona niewiele by siÄ™ z tych danych dowiedziaÅ‚a.
Ciekawe jest to, że pseudonimizacja od pewnego czasu stosowana jest w szkoÅ‚ach, gdzie oceny publikuje siÄ™ wraz z identyfikatorem ucznia zamiast jego imienia i nazwiska. Może być ona wygodnym sposobem na zabezpieczenie również wrażliwych danych, ponieważ znacznie zÅ‚agodzone bÄ™dÄ… wymogi dotyczÄ…ce ochrony informacji zapisanych w ten sposób. Warto wspomnieć, że można również zastosować anonimizacjÄ™ informacji, po której nie da siÄ™ ich przypisać do konkretnych osób. Przez co nie muszÄ… być zabezpieczane na tak wysokim poziomie jak te które nie podlegajÄ… procesowi anonimizacji – mówi Marcin Kujawa, WTB.
Co więcej?
Należy pamiÄ™tać, że pseudonimizacjia to nie to samo co anonimizacja, która jest modyfikacjÄ… danych uniemożliwiajÄ…cÄ… identyfikacjÄ™ osoby fizycznej, pseudonimizacja jest procesem odwracalnym. ZwiÄ™ksza ona bezpieczeÅ„stwo informacji, przez co pozostajÄ… one wedÅ‚ug prawa nadal danymi osobowymi. Należy zauważyć, że rozporzÄ…dzenie traktuje to narzÄ™dzie jako pomocnicze, które może być wykorzystane przez Administratorów.
PrzedsiÄ™biorcy powinni zwrócić uwagÄ™, że to jakie narzÄ™dzie ochrony zastosujÄ… wynikać bÄ™dzie z analizy ryzyka w danej firmie. Należy zauważyć, że rozporzÄ…dzenie traktuje pseudonimizacjÄ™ jako narzÄ™dzie pomocnicze, które może, ale nie musi być wykorzystane przez Administratorów. Zasadność użycia danego sposobu bezpieczeÅ„stwa powinno być uwzglÄ™dnione już w samej fazie projektowania nowego systemu – podsumowuje Marcin Kujawa, WTB.