Anonimizacja i pseudonimizacja

Rozpoczęcie stosowania – od 25 maja 2018 r. – przepisów unijnego ogólnego rozporządzenia o ochronie danych (RODO) oznacza rewolucję. Akt ten wprowadza nowe pojęcia, jak też na nowo definiuje wiele zwrotów.

Dane poddane pseudonimizacji również podlegają wymogom RODO, ale już dane zanonimizowane w taki sposób, że nie mamożliwości połączenia ich z konkretną osobą, są wyłączone z zakresu rozporządzenia. Stąd istotne jest rozróżnienie tych pojęć.


Anonimizacja 

Anonimizacja to proces uniemożliwiający zidentyfikowanie osoby fizycznej na podstawie określonych danych. Anonimizacja pozwala na usunięcie powiązań między danymi osobowymi a osobami, których dane dotyczą. Zanonimizowane dane nie są danymi osobowymi, ponieważ nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. W związku z tym, zasady ochrony danych nie powinny mieć zastosowania do danych zanonimizowanych, co oznacza, że RODO nie stosuje się do przetwarzania takich anonimowych informacji.

Pseudonimizacja

Z kolei pseudonimizacja to „ukrycie” danych osobowych, ponieważ nadal istnieje narzędzie, które pozwala je odczytać. Dane osobowe, które są spseudonimizowane, pozostają danymi osobowymi. Poddając je pseudonimizacji, jedynie na pewien czas „ukrywamy” informacje pozwalające zidentyfikować osobę, której dane dotyczą.

Zgodnie z RODO, "pseudonimizacja" oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Żeby dokonać skutecznie czynności pseudonimizacji istotne jest to, żeby klucz pozwalający odczytać dane był przechowywany osobno, tj.w innym miejscu, niż same dane. Ponadto, klucz musi być odpowiednio zabezpieczony w sposób techniczny i organizacyjny.

Jak odróżnić te procesy?

Różnica między tymi dwoma procesami wymaga analizy tego, czy dana osoba fizyczna jest nadal możliwa do zidentyfikowania. Dlatego trzeba wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, co do których istnieje możliwość, że zostaną wykorzystane przez administratora bądź inną osobę w celu zidentyfikowania tożsamości tej osoby fizycznej. W tym celu należy wziąć pod uwagę wszelkie czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1) - motywy preambuły 26, 28, 29, 75, 78, 85, 156 oraz art. 4 pkt 5.

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

  • lucja33 2012-11-14 13:38:01

    czy podawanie się za inną osobę jest karalne?


Potrzebujesz pomocy prawnej?

Zapytaj prawnika