Jak prawidłowo przetwarzać dane spseudonimizowane? Czy przekazanie takich danych wymaga zawarcia umowy powierzenia przetwarzania?
ODPOWIEDŹ
RODO wprowadziło pojęcie pseudonimizacji, które oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której one dotyczą, bez użycia dodatkowego „klucza”. Mówiąc prościej, to użycie zamiast danych identyfikujących osobę liczby albo kodu, indywidualnego dla każdej osoby. Zasadniczy wymóg to taki, że klucz z właściwymi danymi identyfikującymi osobę powinny być przechowywane w innym miejscu (w RODO określa się to jako "dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej"). Dzięki temu nawet jeśli doszłoby do wycieku, osoba nieupoważniona niewiele by się z tych danych dowiedziała albo to zadanie byłoby znacznie utrudnione.
Na takie informacje należy patrzeć z dwóch perspektyw - administratora i podmiotu przetwarzającego
Z perspektywy administratora dane speudonimizowane to dane osobowe. Motyw 26 dostarcza wyjaśnień - czytamy tam, że "spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej (…) Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej".
Należy zwrócić uwagę na dwa kluczowe aspekty:
- możliwość zidentyfikowania osoby fizycznej
- możliwość dokonania takiej identyfikacji przez "administratora lub inną osobę"
W przypadku danych speudonimizowanych możliwość zidentyfikowania osoby zawsze istnieje i w efekcie z perspektywy administratora takie informacje stanowią zawsze dane osobowe.
Powierzane do przetwarzania dane mogą być speudonimizowane lub zanonimizowane.
Jeśli dane zostały zanonimizowane tak, że nawet administrator nie będzie w stanie ustalić tożsamości osób, których dane dotyczą, to sprawa jest bardzo prosta - "zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować". W efekcie umowa powierzenia nie jest potrzebna. W przypadku powierzania przetwarzania danych osobowych spseudonimizowanych sprawa jest nieco skomplikowana.
Wydawało by się, że to czy należy zawrzeć umowę powierzenia powinno być oparte o analizę ryzyka możliwości ponownej identyfikacji osoby przez podmiot przetwarzający i jeżeli zapewni się, że podmiot przetwarzający ani żadna inna strona nie będzie miała możliwości ponownej identyfikacji osoby, to można rozważać brak powierzenia przetwarzania. Jednak powierzając spedonimizowane dane osobowe do przetwarzania innemu podmiotowi należy zapewnić, aby prawa i wolności osób, których dane dotyczą nie zostały naruszone - aby np.. takich danych nie ujawniał innym podmiotom, aby ich nie łączył z innymi danymi, aby zachował rzetelność w ich przetwarzaniu, dbał o ich aktualność i prawdziwość, etc. Najprościej jest to zapewnić poprzez zawarcie umowy powierzenia. Stąd też stanowisko organów nadzorczych, które uważają, że każde zlecenie przetwarzania w imieniu administratora, nawet jeśli dane osobowe są speduonimizowane, powinno wiązać się z zawarciem umowy powierzenia.
