Spośród definicji zawartych w RODO na uwagę zasługuje z pewnością pseudonimizacja. Jej siostra, anonimizacja miejsca w definicjach RODO już nie znalazła, ale nic straconego – tutaj jest mile widziana. W tym krótkim wpisie wyjaśnię Ci, co oznaczają te dwa pojęcia i zaprezentuję do czego mogą Ci się przydać.
Czym jest pseudonimizacja?
Pseudonimizacja to przetworzenie danych osobowych, które nie pozwala na zidentyfikowanie osoby, której one dotyczą, bez wykorzystania do tego dodatkowych środków. Środkami tymi mogą być np. zmiana danych osobowych – powiedzmy, imienia i nazwiska – na ciąg cyfr, które są możliwe do ponownego powiązania z osobą przy wykorzystaniu klucza. Środki te powinny być odpowiednio zabezpieczone i przechowywane odrębnie.
Do najpopularniejszych według wtedy jeszcze Grupy Roboczej art. 29 (a obecnie EROD) metod pseudonimizacji należą:
- szyfrowanie;
- funkcja skrótu;
- funkcja skrótu z kluczem;
- szyfrowanie deterministyczne lub funkcja skrótu z kluczem;
- tokenizacja.
Pseudonimizacja jest więc procesem wprawdzie utrudniającym odczyt danych osobowych, ale jednak możliwym do odwrócenia. I tym właśnie drobnym szczegółem różni się od anonimizacji.
Czym jest anonimizacja?
Bo anonimizacja to działanie polegające na trwałym usunięciu powiązania danych osobowych z osobą, której one dotyczą. Może ono polegać np. na zamianie danych osobowych na inne dane. Trzymając się przykładu, imię i nazwisko mogłoby zostać zastąpione innymi, przy jednoczesnym całkowitym usunięciu poprzednich.
Zastosowanie anonimizacji uniemożliwia więc identyfikację osoby fizycznej. To proces nieodwracalny.
Do czego służą?
Obie te czynności stanowią środek ochrony danych osobowych, choć w przypadku skutecznej anonimizacji trudno właściwie mówić o danych osobowych w ogóle. Zgodnie z motywem 26 RODO, zasady ochrony danych osobowych nie mają bowiem zastosowania do danych anonimowych.
Są przydatne zarówno w środowisku cyfrowym, jak również w innych sytuacjach, np. przy udostępnianiu dokumentów. Świetnym przykładem tego drugiego jest udostępnianie danych w trybie dostępu do informacji publicznej. Zgodnie z przepisem art. 5 ust. 2 ustawy o dostępie do informacji publicznej, może ona podlegać ograniczeniu m.in. z uwagi na prywatność osoby fizycznej. W takim przypadku należy poddać je właśnie takiemu przetworzeniu.
A tutaj znajdziesz tekst Grupy Roboczej art. 29, do którego się odwołałem – KLIK!