Pseudonimizacja i anonimizacja, czyli jak zabezpieczać dane osobowe kontrahentów w przedsiębiorstwie.

By zrozumieć działanie powyższych środków ochrony danych, niezbędna jest definicja pojęcia dane osobowe. Przypomnijmy zatem – są to „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej” (art. 4 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej „RODO”).

Naszym celem będzie zatem takie przetworzenie danych, aby niemożliwym było przypisanie ich konkretnej osobie bez użycia dodatkowych informacji (art. 4 ust. 5 RODO). To właśnie jest pseudonimizacja. Polega ona na zaszyfrowaniu danych, np. zamieniając je na ciąg innych znaków według przyjętego klucza. Warunkiem jest przechowywanie klucza w osobnym, zabezpieczonym miejscu (osobny serwer, komputer, pomieszczenie). Jest to metoda zabezpieczenia danych, która np. może się okazać adekwatna do wykrytego ryzyka przetwarzania. Pseudonimizacja to proces w pełni odwracalny.

Czym zatem jest anonimizacja? W RODO termin ten pojawia się jedynie w Preambule jako typ danych przetworzonych „w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować”, i które nie podlegają przepisom tego rozporządzenia (motyw 26 RODO). Jest to zatem takie przetworzenie, które w sposób trwały uniemożliwia powiązanie jakiegoś dokumentu czy informacji z konkretną osobą. Tego procesu nie można już cofnąć. Jeśli zatem np. minął okres uprawnionego przetwarzania danych na fakturze, a jej całkowite usunięcie z rejestru w systemie informatycznym jest niemożliwe, możemy usunąć dane identyfikujące konkretną osobę (imię, nazwisko, dane teleadresowe) pozostawiając pozostałe – pod warunkiem, że obiektywnie niemożliwe jest ich przyporządkowanie do osoby, której dotyczą.

Wprowadzenie odpowiedniej metody ochrony danych wymaga analizy uwzględniającej: aktualnie dostępne technologie, koszty wdrażania; jaki jest charakter, kontekst, zakres i cel przetwarzania; jakie jest ryzyko wynikające z tego przetwarzania. Wszystko po to, by dobrane metody były adekwatne i zadowalające – dające pewność, że zarówno nasza firma jak i nasi klienci są bezpieczni.

Warto rozważyć wykorzystanie środka jakim jest tzw. Outsourcing, tzn. scedowanie obowiązku wdrożenia odpowiednich procedur na zewnętrzną firmę. Zyskujemy dzięki temu nie tylko na czasie, ale mamy również gwarancję że nasza firma będzie spełniać obowiązujące wymogi.