Czym jest anonimizacja i pseudonimizacja danych osobowych? Ujmując rzecz w skrócie, to działania mające na celu utajenie danych osobowych, ich zabezpieczenie. Różnica między nimi polega między innymi na znaczeniu w kontekście RODO. Poza tym wskazane rozwiązania mogą być albo trwałe, albo chwilowe. Jakie są zatem wyznaczniki zastosowania obydwu działań? Co daje utajenie danych osobowych przy zastosowaniu pierwszego sposobu, a co przy drugiego?
Anonimizacja i pseudonimizacja danych osobowych – podstawowe różnice
Na skutek tak zwanej anonimizacji nie ma możliwości, by zidentyfikować daną osobę. Właśnie dlatego RODO nie ma tu zastosowania. Anonimizacja, jako trwałe usunięcie powiązań między konkretną osobą, a jej danymi. By zrozumieć, na czym dokładnie polega anonimizacja danych osobowych, trzeba przytoczyć jej przykłady. I tak z rozwiązaniem tego rodzaju mamy do czynienia wtedy, gdy całą frazę zamieniamy na inicjał, na przykład imię Ania, zamieniamy na literę A. Dane osobowe w postaci imienia i nazwiska zamieniamy z kolei na inicjały — Ania Kowalska od teraz będzie A.K.
Gdzie najczęściej wykorzystuje się anonimizację danych? Między innymi w wyrokach sądowych lub interpretacjach podatkowych. Jest ona wówczas nieodwracalna, a po jej dokonaniu nie sposób zidentyfikować konkretnej osoby.
Pseudonimizacja danych osobowych, to z kolei wyłącznie czasowe ukrycie danych osobowych. Proces ten można także w każdej chwili odwrócić, a przy zastosowaniu odpowiedniego klucza jest możliwość, by daną osobę określić, zidentyfikować. Przy czym klucz powinien być przechowywany, gdzie indziej, niż same dane. Przykłady psedonimizacji, to szyfrowanie tajnym kluczem lub tak zwana tokenizacja, a więc zastępowanie fragmentów danych, ciągiem cyfr. Tak bywa na studiach, gdzie indeksy studentów określają konkretne numery. W dokumentach szkoły przepisane są one jednak wskazanemu nazwisku. A to oznacza, że upoważnieni mogą połączyć numer z personaliami danej osoby.
Co ważne, w przeciwieństwie do anonimizacji — pseudonimizacja ma zastosowanie w kontekście RODO. Może być jednym ze sposobów zabezpieczenie danych.
Kiedy szyfrować dane osób fizycznych w firmie?
By odróżnić anonimizację i pseudonimizację wystarczy przemyśleć, czy po konkretnej czynności będzie można zidentyfikować daną osobę. Przy czym należy wziąć pod uwagę dostępne technologie i możliwości. Nie bez znaczenia pozostaje również koszt i czas niezbędny przy identyfikacji.
Istotne jest zapewne to, że anonimizacja i pseudonimizacja danych osobowych odgrywa ogromną rolę w niektórych przedsiębiorstwach. Gdy dana firma posiada bazę klientów lub pacjentów zgodnie z wymogami RODO, nie może przecież dobrowolnie nimi rozporządzać. Musi je chronić.
Anonimizacja skutkuje trwałym usunięciem danych, ponieważ każdy z nas ma „prawo do zapomnienia”. Wtedy z bazy cyfrowej usuwa się dane osobowe, ale pozostałe pozostają np. sprzedawca usuwa imię i nazwisko oraz adres dostawy, ale wciąż może zachować szczegóły zakupu typu towar, jego ilość i wartość transakcji. Co więcej, jeśli dane zamówienie zostało wydrukowane, dane osobowe powinny zostać zamazane w sposób nieodwracalny także na wersji papierowej.
Jednak zgodnie z literą prawa niektórych danych nie można anonimizować przez określony czas np. akta osobowe muszą być przechowywane przez pracodawcę przez 10 lat, lub są one potrzebne do codziennej pracy. Wówczas o wiele lepszym rozwiązaniem jest pseudonimizacja. Przede wszystkim, zgodnie z RODO, dane osobowe muszą być chronione i dostęp do nich mogą mieć tylko osoby uprawnione. Jednak w czasach informatyzacji bardzo często imię i nazwisko zastępuje się numerem lub ciągiem znaków, co znacząco ułatwia cały proces. Dobrym przykładem jest lista pacjentów wywieszona przy gabinecie, gdzie widnieją tylko numery chorych z rejestracji.
Możliwość dodawania komentarzy nie jest dostępna.