3 minute read
BEZPIECZEŃSTWo DANYCH
from OSOZ Polska
by OSOZ Polska
RODO a anonimizacja i pseudonimizacja danych
Mimo, iż obowiązujące przepisy o ochronie danych osobowych stosujemy od maja 2018 roku, pojęcia anonimizacji i pseudonimizacji nadal sprawiają nie lada problem. Przyjrzyjmy się dokładnie ich znaczeniu.
Advertisement
Karolina Szuścik, CISA Inspektor Ochrony Danych, KAMSOFT S.A.
Anonimizacja Definicji anonimizacji danych osobowych na próżno szukać w RODO. Jednakże pojęcie to możemy znaleźć w ustawie o świadczeniu usług drogą elektroniczną. Oznacza ono nieodwracalne uniemożliwienie zidentyfikowania określonej osoby. Inaczej mówiąc, anonimizacja to trwałe usunięcie informacji wskazujących na osobę fizyczną, co skutkuje brakiem możliwości ustalenia personaliów osoby fizycznej, której pierwotnie dotyczyła informacja. Istotnym jest to, iż anonimizacja powoduje nieodwracalne usunięcie danych pozwalających na identyfikację danej osoby. Z uwagi na ten fakt, wobec zanonimizowanych danych nie stosuje się przepisów RODO.
Pseudonimizacja Pseudonimizacja na gruncie RODO oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji. Równoległym warunkiem jest to, by takie dodatkowe informacje były przechowywane osobno i zostały objęte środkami technicznymi i organizacyjnymi uniemożliwiają-
techniki depersonalizacji danych
Źródło: Otwarte dane – standardy bezpieczeństwa, Ministerstwo Cyfryzacji, 2018 Anonimizacja jest to proces, w którym dane osobowe są trwale i nieodwracalnie przekształcone. Technika ta uniemożliwia (w rozsądnym wymiarze czasowym i finansowym) przyporządkowanie informacji o określonej lub możliwej do zidentyfikowania osobie fizycznej.
Pseudonimizacja jest to odwracalny proces, polegający na zastąpieniu danej rzeczywistej nazwą przybraną, czyli nadanie jej tak zwanego pseudonimu. Pseudonimizacja utrudnia identyfikację, natomiast umożliwia przypisanie różnych czynności tej samej osobie (bez znajomości jej danych osobowych) oraz łączenie rożnych zbiorów danych między sobą. Pseudonimizacja skutecznie podwyższa bezpieczeństwo przetwarzania danych, ale nie jest równoznaczna anonimizacji, w związku z czym dane poddane pseudonimizacji dalej podlegają pełnej ochronie.
cymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Innymi słowy, pseudonimizacja polega na zastępowaniu jednego atrybutu w zapisie innym atrybutem np. zmianie numeru PESEL na ciąg znaków, które można rozszyfrować wyłącznie na podstawie przechowywanych oddzielnie informacji – klucza. �akie działanie zwiększa poziom bezpieczeństwa danych. �� związku z tym, że przy wykorzystaniu pseudonimizacji danych nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej, zastosowanie tej metody nie będzie skutkowało anonimowym zbiorem danych. �� przeciwieństwie do anonimizacji, pseudonimizacja jest procesem całkowicie odwracalnym i dlatego też dane, które zostały w taki sposób zabezpieczone, w dalszym ciągu muszą być chronione zgodnie z wymogami RODO. Grupa robocza art. 29 w opinii 05/2014 w sprawie technik anonimizacji wskazała, iż do najczęściej stosowanych technik pseudonimizacji należą m.in.: – szyfrowanie z kluczem tajnym, – funkcja skrótu, zwana także funkcją hashującą, – tokenizacja.
Anonimizacja czy Pseudonimizacja? co powinien wybrać Administrator danych osobowych? �a pozór omawiane pojęcia są podobne, jednakże w rzeczywistości różnią się od
»Dane, które przeszły proces pseudonimizacji, można ponownie rozszyfrować na podstawie klucza.«
siebie zasadniczo. Jedynym podobieństwem jest to, że obie techniki administratorzy danych mogą wykorzystywać w celu zabezpieczenia danych. Jednakże wybrane metody zabezpieczeń zależą od wielu czynników, w tym od przeprowadzonej analizy ryzyka, a także od celu, jaki administrator danych zamierza osiągnąć. Każdorazowo administrator danych jest uprawniony i zobowiązany do wyboru takiego środka ochrony danych, który będzie zapewniał im należytą ochronę. �� rezultacie tego, anonimizacja zdaje się być dobrym rozwiązaniem wtedy, gdy administrator chce lub jest zobowiązany do usunięcia danych osobowych. Pseudonimizacji może z kolei użyć w celu minimalizacji ryzyka utraty poufności danych – czyli jako mechanizm zabezpieczania danych przed określonymi zagrożeniami. Podsumowując, administrator nie może stosować anonimizacji i pseudonimizacji w charakterze technik zamiennych, gdyż służą one osiąganiu odmiennych celów.
Wydawca: KAmSofT S.A. 40–235 Katowice, ul 1 maja 133 tel. +48 32 209-07-05 fax +48 32 209-07-15 e-mail: czasopismo@osoz.pl Zespół redakcyjny: Zygmunt Kamiński, Agnieszka golec, Aleksandra Kurowska, Katarzyna Płoskonka, Bożena Wojnarowicz-głuszek.
Współpracownicy: mariusz Borkowski, Brian o’Connor, jarosław frąckowiak, monika grabska, ligia Kornowska, łukasz Stopa, Karolina Szuścik, miron Tokarski. PRENuMERAtA cZASoPiSMA Co miesiąc na łamach w oSoZ PolSKA prezentujemy starannie wyselekcjonowaną wiedzę m.in. z dziedziny nowoczesnych technologii w ochronie zdrowia i e-zdrowia. Czytaj relacje z międzynarodowych wydarzeń, wywiady z ekspertami, autorskie raporty specjalne. Cena rocznej prenumeraty: 180 zł (12 numerów).
Dołącz do społeczności e-zdrowia.
Zamówienia: redakcja@osoz.pl
Redaktor naczelny: Artur olesch
jesteśmy partnerem European Connected Health Alliance Skład i łamanie: Piotr Chamera
Druk: INfomAX, Katowice
Nakład: 1500 egzemplarzy
Przedruk, kopiowanie, skracanie, wykorzystanie tekstów (lub ich fragmentów) publikowanych w czasopiśmie oSoZ bez zgody wydawcy KAmSofT S.A. jest zabronione.
Redakcja nie odpowiada za treść reklam, ogłoszeń i artykułów sponsorowanych.
Redakcja zastrzega sobie prawo do skracania zamieszczanych materiałów. Niezamówionych materiałów nie zwracamy. Pobierz aplikację oSoZNews i czytaj bezpłatnie mobilne wydania czasopisma.
