Pseudonimizacja

Art. 4 pkt 5 RODO

„Pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

 

Czym jest pseudonimizacja?

 Zacznijmy od samej nazwy. 

Pseudōnymos (z greckiego) albo pseudonyme (z francuskiego) oznacza fałszywie nazwany albo po prostu – pseudonim.

Pseudonimizacja jest więc czynnością zastąpienia prawdziwych danych osobowych (np. imienia i nazwiska) fałszywą nazwą (np. numerem indeksu). Przykładem pseudonimizacji jest więc pisanie pod pseudonimem. Celem pseudonimizacji jest ograniczenie możliwości powiązania zbioru danych z tożsamością konkretnej osoby fizycznej, której dane osobowe dotyczą.

Motyw 28 RODO

Pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Tym samym bezpośrednie wprowadzenie pojęcia „pseudonimizacja” w niniejszym rozporządzeniu nie służy wykluczeniu innych środków ochrony danych.

 

Aby zrozumieć pseudonimizację spróbujmy rozłożyć jej definicję na czynniki pierwsze.

Pseudonimizacja to przetworzenie danych osobowych w określony sposób pod pewnymi warunkami.

W jaki sposób powinno odbywać się przetworzenie (modyfikacja, przerobienie, przekształcenie) danych osobowych?

 Pseudonimizacja musi odbywać się tak, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji.

Jaki dodatkowo warunek musi spełnić przetworzenie danych osobowych, by stać się pseudonimizacją?

Dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Pseudonimizacja to odwracalny proces mający na celu podwyższenie ochrony przetwarzanych danych osobowych.

Motyw 29 RODO

Aby zachęcić do stosowania pseudonimizacji podczas przetwarzania danych osobowych, należy umożliwić stosowanie u tego samego administratora środków pseudonimizacyjnych niewykluczających ogólnej analizy, o ile administrator ten zastosował środki techniczne i organizacyjne niezbędne do tego, by niniejsze rozporządzenie zostało wdrożone w zakresie danego przetwarzania i by dodatkowe informacje pozwalające przypisać dane osobowe konkretnej osobie, której dane dotyczą, były przechowywane osobno. Administrator przetwarzający dane osobowe powinien wskazać osoby uprawnione.

 

Pseudonimizacja ≠ animizacja danych

Spseudonimizowane dane to dane osobowe!

 Dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej osobie.

 Więcej na temat definicji danych osobowych zob. dane osobowe

Co to oznacza w praktyce?

Do danych, które zostały objęte procesem pseudonimizacji stosuje się wszystkie regulacje prawne odnoszące się do danych osobowych. Inaczej rzecz ujmując, przekazując podwykonawcy spseudonimizowane dane osobowe należy z nim zawrzeć umowę powierzenia przetwarzania danych osobowych.

Na temat umowy powierzenia przetwarzania danych zob. tutaj.

Motyw 26 RODO (fragment)

Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.

 

Źródła:

  1. D. Lisiak-Felicka, M. Szmit, Cyberbezpieczeństwo administracji publicznej w Polsce. Wybrane zagadnienia, Kraków 2016, s. 43.
  2. W. Wiewiórowski, „Zasady przetwarzania danych osobowych w najnowszych opiniach Grupy Roboczej art. 29” [w:] Anonimizacja i pseudonimizacja w opiniach Grupy Roboczej art. 29 oraz w pracach nad nowymi ramami ochrony danych w UE, Warszawa 2014 r. (online:) https://pspp.org.pl/database/uploads/file/Giodo.pdf [dostęp: 12.09.2020 r.].
  3. Opinia 05/2014 w sprawie technik anonimizacji przyjęta 10 kwietnia 2014 r., Grupa Robocza Art. 29, (online:) https://archiwum.giodo.gov.pl/pl/1520203/7808, [dostęp: 12.09.2020 r.].
  4. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.)
  5. komentarz do art. 4 pkt 5 [w:] RODO. Ogólne Rozporządzenie o ochronie danych osobowych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Wolters Kluwer 2018, Lex