Zapewnienie odpowiedniego bezpieczeństwa gromadzonych danych osobowych to główne zadanie, jakie leży po stronie administratorów danych osobowych. Technik ochrony danych jest wiele, należą do nich m.in. anonimizacja i pseudonimizacja danych. W poniższym artykule dowiesz się, czym są te techniki oraz czy można je stosować zamiennie.

Techniki ochrony danych osobowych

Według RODO ochrona danych osobowych powinna dotyczyć wszelkich informacji o zidentyfikowanych, bądź możliwych do zmodyfikowania osobach fizycznych. Administrator, przetwarzając dane osobowe, powinien zapewnić pełną ochronę przed zidentyfikowaniem tej osoby na podstawie jej danych. Administrator sam decyduje, jaką technikę ochrony chce zastosować. Decyzję podejmuje po przeprowadzonej analizie ryzyka. Anonimizacja i pseudonimizacja danych to dwa istotne przepisy, należy jednak pamiętać, że nie można stosować ich zamiennie w tym samym celu. Administrator już w fazie projektowania powinien wybrać, którą z metod wykorzysta.

RODOprotektor Anonimizacja i pseudonimizacja danych osobowych

Pseudonimizacja danych osobowych

Pseudonimizacja to jeden ze środków technicznych i organizacyjnych, który podwyższa bezpieczeństwo danych. Najprościej określić ją jako przetwarzanie danych osobowych, w sposób by nie można było ich przypisać do określonej osoby bez użycia dodatkowych informacji. Technika ta ogranicza możliwość powiązania konkretnego zbioru danych osobowych z prawdziwą tożsamością osoby, dzięki czemu administrator może utrudnić identyfikację tej osoby. Pseudonimizacja polega na zmianie danych osobowych, tak by uniemożliwić przyporządkowanie ich do określonej osoby fizycznej. Przykładowo administrator może zaszyfrować dane za pomocą specjalnego „klucza”. Urząd Ochrony Danych Osobowych wskazuje jednak, że zaszyfrowane dane i klucz nie mogą być przekazywane tym samym kanałem informacyjnym. Pseudonimizacja danych jest skuteczną metodą ochrony, lecz należy pamiętać o tym, że nadal istnieje możliwość pośredniego zidentyfikowania osoby.

Anonimizacja danych osobowych

Przepisy RODO nie zawierają definicji „anonimizacji danych osobowych”. Określić ją możemy jako nieodwracalny proces uniemożliwienia zdefiniowania osoby. Tę technikę ochrony danych administratorzy powinni stosować w momencie, gdy występuje potrzeba trwałego usunięcia z nośników danych wszelkich informacji, które mogłyby pozwalać na identyfikację osób (np. imię, nazwisko, adres, numer telefonu). Po dokonaniu anonimizacji danych osobowych administrator nie ma właściwie innej możliwości ponownego ujawnienia usuniętych danych.

Różnice pomiędzy anonimizacją, a pseudonimizacją

Należy pamiętać, że pseudonimizacja nie jest techniką anonimizacji. Podstawową cechą, która rozróżnia dwie metody jest odwracalność. Pseudonimizacja jest odwracalna, natomiast proces anonimizacji jest nieodwracalny. Dodatkowo, administrator stosując metodę anonimizacji uniemożliwia identyfikację tej osoby, przez co RODO nie może zostać zastosowane do przetwarzania takich danych. Podsumowując, w momencie, w którym administrator danych osobowych chciałby zapewnić nieodwracalne wyłączenie dostępu do danych, powinien zdecydować się na wykorzystanie techniki anonimizacji. W przypadku bieżącej ochrony przetwarzanych danych najlepszą metodą jest pseudonimizacja.

Źródło:
Newsletter UODO dla Inspektorów ochrony danych nr 4/2021(25) Kwiecień 2021

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość