Pseudonimizacja danych – co to właściwie jest

Pseudonimizacja danych nie jest jedynie pojęciem wprowadzanym przez RODO. Już od pewnego czasu stała się np. częstą praktyką stosowaną w szkołach, w celu nieujawniania danych osobowych uczniów. Po 25 maja br. wszystkie firmy będą musiały zadbać o odpowiednią ochronę przetwarzanych informacji. Jak przedsiębiorcy mają sobie poradzić z takim wyzwaniem w przypadku braku szczegółowych wytycznych? Czy pseudonimizacja może być odpowiedzią na to pytanie?

pseudonimizacja danych - co to jest

RODO kontra firmy

Europejskie rozporządzenie narzuca wszystkim administratorom – czyli organom, jednostkom organizacyjnym, podmiotom lub osobom decydującym o celach i środkach przetwarzania danych – obowiązek odpowiedniego zabezpieczenia danych osobowych. Obecnie firmy muszą jedynie wykazać zgodność stosowanych środków bezpieczeństwa z rozporządzeniem o środkach zabezpieczających z 2004 r. Po 25 maja br. sytuacja się zmieni. To organizacje będą zobowiązane do samodzielnego ocenienia ryzyka naruszenia ochrony danych. RODO jedynie wskazuje ogólne obowiązki wdrożenia technicznych i organizacyjnych środków bezpieczeństwa, w tym polityk ochrony danych osobowych, uwzględniających m.in. charakter, zakres, kontekst, a także ryzyko naruszenia praw i wolności osób, których dane dotyczą – o którym więcej piszemy w artykule: " Szacowanie ryzyka zgodnie z RODO - Wprowadzenie".

Pseudonimizacja jako złoty środek?

RODO wprowadza pojęcie pseudonimizacji, które oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której one dotyczą, bez użycia dodatkowego „klucza”. Mówiąc prościej, to użycie zamiast np. imienia i nazwiska – liczby. Wymóg jest jeden, klucz z właściwymi danymi do odszyfrowania powinny być przechowywane osobno. Dzięki czemu nawet jeśli doszłoby do wycieku, osoba nieupoważniona niewiele by się z tych danych dowiedziała.

Ciekawe jest to, że pseudonimizacja od pewnego czasu stosowana jest w szkołach, gdzie oceny publikuje się wraz z identyfikatorem ucznia zamiast jego imienia i nazwiska. Może być ona wygodnym sposobem na zabezpieczenie również wrażliwych danych, ponieważ znacznie złagodzone będą wymogi dotyczące ochrony informacji zapisanych w ten sposób. Warto wspomnieć, że można również zastosować anonimizację informacji, po której nie da się ich przypisać do konkretnych osób. Przez co nie muszą być zabezpieczane na tak wysokim poziomie jak te które nie podlegają procesowi anonimizacji.

Ważne
Należy pamiętać, że pseudonimizacja to nie to samo co anonimizacja, która jest modyfikacją danych uniemożliwiającą identyfikację osoby fizycznej, pseudonimizacja jest procesem odwracalnym. Zwiększa ona jedynie bezpieczeństwo informacji, przez co pozostają one według prawa nadal danymi osobowymi. Należy zauważyć, że rozporządzenie traktuje to narzędzie jako pomocnicze, które może być wykorzystane przez administratorów.

Podsumowując przedsiębiorcy powinni zwrócić uwagę, że to jakie narzędzie ochrony zastosują wynikać będzie z analizy ryzyka w danej firmie. Należy zauważyć, że rozporządzenie traktuje pseudonimizację jako narzędzie pomocnicze, które może, ale nie musi być wykorzystane przez administratorów. Zasadność użycia danego sposobu bezpieczeństwa powinno być uwzględnione już w samej fazie projektowania nowego systemu.

Czytaj także:

-
4.56/5 (43) 1
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".