Pseudonimizacja i anonimizacja są to pojęcia, które obecnie dosyć często występują
w odniesieniu do przetwarzania danych osobowych. W niniejszej analizie przedstawione zostały różnice oraz cel i praktyka zastosowania tych procesów w przedsiębiorstwie.

Pseudonimizacja

Pojęcie psedonimizacji zostało oficjalnie wprowadzone do prawa ochrony danych osobowych przez przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej „RODO”). Definicja  pseudonimizacji nie występowała w nieobowiązujących już przepisach Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Zgodnie z art. 4 pkt. 5 RODO pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Pseudonimizację wykonuje się w celu utrudnienia identyfikacji określonej osoby fizycznej, polega ona za zastąpieniu danych osobowych dotyczących osoby fizycznej innymi danymi np. numerem identyfikacyjnym. W takim przypadku dysponując wyłącznie danymi spseudonimizowanymi nie można na ich podstawie zidentyfikować osoby, której dane te dotyczą. Według powyżej przywołanej definicji dane spseudonimizowane powinny być rozdzielone i przechowywane osobno niż dane, które pozwalają na identyfikację określonej osoby fizycznej. Stosownie do motywu 26 RODO spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.

W celu stwierdzenia, czy dana osoba fizyczna jest możliwa do zidentyfikowania należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby fizycznej, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Zaznaczyć należy, że dane osobowe poddane pseudonimizacji pozostają danymi osobowymi w rozumieniu przepisów RODO. Dane osobowe stosownie do art. 4 pkt. 1 oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Jeśli administrator danych chciałby przekazać do innego podmiotu spseudonimizowane dane osobowe to takie przekazanie danych powinno odbywać się z zachowaniem wymogów RODO albowiem dane te pomimo zastosowania pseudonimizacji pozostają danymi osobowymi.

Istotną cechą pseudonimizacji jest to, że jest to  proces w pełni odwracalny.  Ponadto dane osobowe poddane pseudonimizacji należy objąć środkami technicznymi i organizacyjnymi uniemożliwiającymi przypisanie ich zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Administrator danych decydując się na wykorzystanie pseudonimizacji powinien od razu mieć na uwadze konieczność zapewnienia pełnego i sprawnego odwrócenia tego procesu.

Proces pseudonimizacji może przebiegać z wykorzystaniem rożnych sposobów postępowania jako przykład można podać, wygenerowanie numerów identyfikacyjnych lub logiczne rozdzielenie informacji dotyczących określonej osoby fizycznej.

Dane spseudonimizowane powinny być przechowywane w innym miejscu niż dane pozwalające na identyfikację konkretnych osób. Nie powinno być to więc te samo miejsce np. mebel biurowy, w którym znajdują się dane osobowe lub ten sam komputer posiadający jedno konto użytkownika.

Anonimizacja danych

Pojęcie anonimizacji w odróżnieniu od pseudonimizacji występowało w poprzednio obowiązującej Ustawie  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W przepisach RODO nie występuje definicja anonimizacji, jednak w motywie 26 RODO jest o niej mowa. Zgodnie z przywołanym motywem zasady ochrony danych nie powinny mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. RODO nie dotyczy więc przetwarzania danych poddanych anonimizacji.

Anonimizacja to proces polegający na usunięciu wszystkich informacji, które w jakikolwiek sposób  umożliwiają identyfikację określonej osoby, której dane dotyczą, przez administratora danych lub osobę trzecią. Do takich danych osobowych możemy zaliczyć np. imię i nazwisko, adres lub nr telefonu. Zanonimizowane dane nie są już danymi osobowymi ponieważ na ich podstawie nie jest możliwe zidentyfikowanie osoby, której dane zostały poddane temu procesowi.

Anonimizacja może być stosowana na nośnikach papierowych (dokumentach) poprzez np. zamazanie w tekście dokumentu wszystkich informacji pozwalających na identyfikację podmiotu danych czyli osoby, której te dane dotyczą, często jest to jednak forma pozostawiająca wiele do życzenia. Proces ten może także  polegać na usunięciu z danego systemu informatycznego np. takiego, w którym znajdują się dane klientów, informacji pozwalających na ich identyfikację, a pozostawienie np. jedynie charakterystyki liczbowej dokonywanych przez nich zakupów lub innych danych statystycznych. Należy mieć na uwadze, że brak możliwości identyfikacji osoby fizycznej, której dane dotyczą powinien mieć charakter obiektywny tzn. po dokonaniu anonimizacji zarówno administrator danych jak
i osoba trzecia nie powinna mieć możliwości w żaden sposób dokonać identyfikacji takiej osoby (podmiotu danych).

Psedonimizacja a anonimizacja

W odróżnieniu od anonimizacji, pseudonimizacja  jest więc procesem w pełni odwracalnym tzn. Administrator danych po odwróceniu tego procesu i po ponownym połączeniu danych uprzednio poddanych psedonimizacji ma ponownie pełny zakres danych osobowych zawierający wszystkie informacje dotyczące osób, których te dane dotyczą. Zakres danych po odwróceniu pseudonimizacji jest taki jak przed jej zastosowaniem.

Zarówno pseudonimizację jak i anonimizację stosuje się w zupełnie różnych celach. Anonimizacja ma za cel trwałe usunięcie z nośników papierowych jak i systemów informatycznych wszystkich informacji pozwalających na identyfikację osób, których dane osobowe dotyczą a pseudonimizacja jest sposobem na zwiększenie bezpieczeństwa przetwarzanych danych osobowych.

Praktyczne zastosowanie w przedsiębiorstwie

Anonimizację w przedsiębiorstwie stosuje się w celu usunięcia wszystkich danych umożliwiających identyfikację osób fizycznych (podmiotów danych) w sytuacji gdy ustają podstawy przetwarzania danych osobowych, o których  mowa w RODO. Anonimzacja jest więc sposobem na realizację obowiązków wynikających z RODO (retencja danych). Pojawić może się pytanie czym różni się anonimizacja od zwykłego usunięcia danych.

Usunięcie danych polega na usunięciu wszystkich danych dotyczących określonej osoby fizycznej. Proces odbywa się bez dokonywania dodatkowej analizy, które spośród danych pozwalają lub nie na identyfikację określonej osoby fizycznej. Następuje proste usunięcie wszystkich danych. W procesie anonimizacji natomiast usuwa się wyłącznie informacje, które mogą stanowić dane  osobowe w rozumieniu RODO, pozostawiając inne, które nie pozwalają już na identyfikację osoby, której te dane dotyczą, a nadal mogą być użyteczne dla administratora. Anonimizacja pozwala więc zachować w przedsiębiorstwie te dane, które stosownie do przepisów RODO nie są danymi osobowymi. Informacje te mogą jednak nadal być przydatne np. do budowy strategii marketingowych, czy programów lojalnościowych. Po dokonaniu anonimizacji w przedsiębiorstwie mogą pozostać dane zawierające np. informacje o zakupionych przez klientów towarach, produktach, które cieszyły się mniejszym lub większym zainteresowaniem, jak również preferencjach zakupowych. Pamiętać trzeba jednak, że pozostawione dane nie mogą w żaden sposób pozwalać na identyfikację osoby, której dotyczą, w przeciwnym wypadku nie można przecież mówić o anonimizacji.

Zastosowanie anonimizacji jest często koniecznością wynikającą np. z funkcjonalności używanego w przedsiębiorstwie systemu informatycznego, który nie pozwala na usunięcie całego rekordu z bazy danych. W takiej sytuacji musimy po prostu skorzystać z anonimizacji aby usunąć wszystkie dane osobowe znajdujące się w danym rekordzie. Zdarza się, że z uwagi na uwarunkowania techniczne systemu, w celu dokonania anonimizacji danych dochodzi do zastąpienia danych osobowych innymi danymi np. imię i nazwisko zastępuje się ciągiem określonych znaków.

W praktyce występują różne techniki anonimizacji. Zaznaczyć należy, że każda z nich ma swoje plusy i minusy. Randomizacją określa się  techniki, które zmieniają prawdziwość danych. Następuje to w celu likwidacji ścisłego związku pomiędzy danymi a konkretną osobą fizyczną. Uogólnianie jest to druga grupa technik anonimizacji i chociaż „może być skuteczne w uniemożliwianiu wyodrębniania, nie pozwala ono na skuteczną anonimizację we wszystkich przypadkach; w szczególności uogólnianie wymaga określonych i zaawansowanych podejść ilościowych w celu zapobieżenia możliwości tworzenia powiązań i wnioskowaniu”. (Grupa Robocza art. 29 – Opinia 05/2014 w sprawie technik anonimizacji).

Pseudonimizacja jest także jednym ze środków podwyższających bezpieczeństwo przetwarzania danych osobowych. Zgodnie z motywem 28 RODO pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych.

W przedsiębiorstwie zgodnie z art. 32 ust. 1 RODO pseudonimizacja może mieć zastosowanie jako środek zabezpieczenia danych osobowych. W zależności od wyniku dokonanego szacowania ryzyka administrator może skorzystać z pseudonimizacji w celu zapewnienia stopnia ochrony danych osobowych adekwatnego do istniejącego ryzyka związanego z przetwarzaniem danych osobowych. Ponadto o pseudonimizacji jako środku zabezpieczającym przetwarzanie danych osobowych mowa jest w art. 6 ust. 4 lit. e RODO w kontekście dokonania zmiany celu przetwarzania danych osobowych. Pseudonimizacja w przedsiębiorstwie będzie miała także zastosowanie do ochrony danych w fazie projektowania (privacy by design), o czym mowa w art. 25 ust. 1 RODO.

Podsumowanie

Podsumowując pseudonimizacja oraz anonimizacja to dwa odrębne procesy, które mogą być przeprowadzane w przedsiębiorstwie. Jednak oba pozostają szczególnie istotne w związku  z przetwarzaniem danych osobowych. Mając na względzie powyższe rozważania, w pewnych sytuacjach ze względu np. na wynik szacowania ryzyka w danym podmiocie, stosowanie pseudonimizacji może mieć charakter obligatoryjny, dlatego tak ważne jest zrozumienie zasad dotyczących jej stosowania.  To samo dotyczy anonimizacji danych, jeśli w systemie informatycznym nie będziemy mogli usunąć całego rekordu wtedy koniecznością będzie zastosowanie właśnie anonimizacji danych. Dlatego tak istotne jest odpowiednie rozróżnianie tych procesów i właściwe ich zastosowanie w przedsiębiorstwie.

Bartosz Zygmanowski

Źródła:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
  2. Ogólne rozporządzenie o ochronie danych. Komentarz

Edyta Bielak-Jomaa (redaktor naukowy), Witold Chomiczewski, Michał Czerniawski, Piotr Drobek, Urszula Góral, Magdalena Kuba, Dominik Lubasz (redaktor naukowy), Joanna Łuczak, Paweł Makowski, Katarzyna Witkowska-Nowakowska, Natalia Zawadzka

  1. Grupa Robocza art. 29 – Opinia 05/2014 w sprawie technik anonimizacji