Czym jest pseudonimizacja?

Obszar ochrony danych osobowych w firmie lub organizacji czekają istotne zmiany. Ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych wprowadza wachlarz zmian dotyczący bezpieczeństwa, jak i całego procesu przetwarzania danych osobowych. Przepisy rozporządzenia RODO znajdą zastosowanie już od 25 maja 2018 r.

Obowiązkiem administratora danych osobowych jest ich właściwe zabezpieczenie. W tym celu stosuje się tzw. środki ochrony danych osobowych. To właśnie wśród wymienionych w rozporządzeniu RODO środków ochronnych, wskazano także narzędzie dotychczas obce w polskim systemie prawnym ? pseudonimizację.

Pseudonimizacja, zgodnie z definicją z art. 4 pkt 5 RODO, polega na przekształceniu danych osobowych w taki sposób, by nie można było ich przypisać konkretnej osobie bez posiadania dodatkowych informacji. W myśl przepisów Rozporządzenia RODO, by móc mówić o skutecznej pseudonimizacji, takie dodatkowe informacje powinny być przechowywane osobno i zostać objęte środkami technicznymi i organizacyjnymi, które uniemożliwiają ich przypisanie do zidentyfikowanej (lub możliwej do zidentyfikowania) osoby fizycznej.

Na znaczenie pseudonimizacji dla ochrony danych osobowych zwrócono uwagę w Motywie 28 Preambuły RODO, w którym czytamy:

Pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Tym samym bezpośrednie wprowadzenie pojęcia ?pseudonimizacja? w niniejszym rozporządzeniu nie służy wykluczeniu innych środków ochrony danych.

Efektem pseudonimizacji jest zastąpienie części danych dotyczących danej osoby pseudonimem, dzięki czemu pozostają one zabezpieczone.

Jak wspomnieliśmy na początku artykułu, w myśl regulacji z art. 32 RODO, pseudonimizację uznaje się za jeden ze środków technicznych i organizacyjnych, służących do zapewnienia stopnia bezpieczeństwa odpowiadającego stopniowi ryzyka naruszenia praw lub wolności osób fizycznych. Pozostałymi środkami ochronnymi, obok pseudonimizacji, są:

? szyfrowanie danych osobowych,
? zdolność do zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
? zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
? regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Tak samo jak w przypadku każdego środka techniczno-organizacyjnego zapewniającego bezpieczeństwo danych osobowych, stosując pseudonimizację należy uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Warto podkreślić, iż pseudonimizacja nie należy do metod anonimizacji, o których szerzej mowa w Opinii Grupy Roboczej Art. 29 w sprawie technik anonimizacji.

Znaczenie praktyczne pseudonimizacji wydaje się być szczególnie ważne dla podmiotów, które w ramach swojej działalności przetwarzają znaczną ilość danych osobowych. Zastosowanie właściwych środków technicznych i organizacyjnych jest obowiązkiem, spoczywającym na administratorze danych osobowych. Wraz z początkiem stosowania Rozporządzenia RODO, a więc już od 25 maja, jednym z takich środków stanie się właśnie pseudonimizacja.