Pseudonimizacja

Art. 4 pkt 5 RODO
„Pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Czym jest pseudonimizacja?

Zacznijmy od samej nazwy.

Pseudōnymos (z greckiego) albo pseudonyme (z francuskiego) oznacza fałszywie nazwany albo po prostu – pseudonim.

Pseudonimizacja jest więc czynnością zastąpienia prawdziwych danych osobowych (np. imienia i nazwiska) fałszywą nazwą (np. numerem indeksu). Przykładem pseudonimizacji jest więc pisanie pod pseudonimem. Celem pseudonimizacji jest ograniczenie możliwości powiązania zbioru danych z tożsamością konkretnej osoby fizycznej, której dane osobowe dotyczą.

Motyw 28 RODO
Pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Tym samym bezpośrednie wprowadzenie pojęcia „pseudonimizacja” w niniejszym rozporządzeniu nie służy wykluczeniu innych środków ochrony danych.

Aby zrozumieć pseudonimizację spróbujmy rozłożyć jej definicję na czynniki pierwsze.

Pseudonimizacja to przetworzenie danych osobowych w określony sposób pod pewnymi warunkami.

W jaki sposób powinno odbywać się przetworzenie (modyfikacja, przerobienie, przekształcenie) danych osobowych?

Pseudonimizacja musi odbywać się tak, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji.

Jaki dodatkowo warunek musi spełnić przetworzenie danych osobowych, by stać się pseudonimizacją?

Dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Pseudonimizacja to odwracalny proces mający na celu podwyższenie ochrony przetwarzanych danych osobowych.

Motyw 29 RODO
Aby zachęcić do stosowania pseudonimizacji podczas przetwarzania danych osobowych, należy umożliwić stosowanie u tego samego administratora środków pseudonimizacyjnych niewykluczających ogólnej analizy, o ile administrator ten zastosował środki techniczne i organizacyjne niezbędne do tego, by niniejsze rozporządzenie zostało wdrożone w zakresie danego przetwarzania i by dodatkowe informacje pozwalające przypisać dane osobowe konkretnej osobie, której dane dotyczą, były przechowywane osobno. Administrator przetwarzający dane osobowe powinien wskazać osoby uprawnione.

Pseudonimizacja ≠ animizacja danych

Spseudonimizowane dane to dane osobowe!

Dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej osobie.

Więcej na temat definicji danych osobowych zob. dane osobowe.

Co to oznacza w praktyce?

Do danych, które zostały objęte procesem pseudonimizacji stosuje się wszystkie regulacje prawne odnoszące się do danych osobowych. Inaczej rzecz ujmując, przekazując podwykonawcy spseudonimizowane dane osobowe należy z nim zawrzeć umowę powierzenia przetwarzania danych osobowych.

Na temat umowy powierzenia przetwarzania danych zob. tutaj.

Motyw 26 RODO (fragment)
Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.

Źródła:

D. Lisiak-Felicka, M. Szmit, Cyberbezpieczeństwo administracji publicznej w Polsce. Wybrane zagadnienia, Kraków 2016, s. 43.
W. Wiewiórowski, „Zasady przetwarzania danych osobowych w najnowszych opiniach Grupy Roboczej art. 29” [w:] Anonimizacja i pseudonimizacja w opiniach Grupy Roboczej art. 29 oraz w pracach nad nowymi ramami ochrony danych w UE, Warszawa 2014 r. (online:) https://pspp.org.pl/database/uploads/file/Giodo.pdf [dostęp: 12.09.2020 r.].
Opinia 05/2014 w sprawie technik anonimizacji przyjęta 10 kwietnia 2014 r., Grupa Robocza Art. 29, (online:) https://archiwum.giodo.gov.pl/pl/1520203/7808 [dostęp: 12.09.2020 r.].
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.)
komentarz do art. 4 pkt 5 [w:] RODO. Ogólne Rozporządzenie o ochronie danych osobowych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Wolters Kluwer 2018, Lex

Cookie	Czas przechowywania	Opis
cookielawinfo-checkbox-analytics	1 rok	Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Analityczne”.
cookielawinfo-checkbox-necessary	1 rok	Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
mailerlite:webform:shown		Plik cookie używany przez formularz zapisu na newsletter do określenia, czy formularz zapisu na newsletter został już wyświetlonwy użytkownikowi odwiedzającemu stronę.
viewed_cookie_policy	1 rok	Plik cookie jest ustawiany przez wtyczkę GDPR Cookie Consent w celu przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie (żadne dane osobowe nie są zapisywane ani przechwowane).

Cookie	Czas przechowywania	Opis
_ga	2 lata	Plik cookie _ga, instalowany przez Google Analytics, oblicza dane dotyczące odwiedzających, sesji i kampanii, a także śledzi wykorzystanie witryny na potrzeby raportu analitycznego witryny. Plik cookie przechowuje informacje anonimowo i przypisuje losowo wygenerowany numer w celu rozpoznania unikalnych użytkowników.
_ga_BKFR6CLJT3	2 lata	Plik cookie wykorzystywany przez usługę Google Analytics.
_gat_gtag_UA_199300153_1	1 minuta	Wykorzystywany przez usługę Google Analytics do rozróżniania użytkowników.
_gid	1 dzień	Instalowany przez Google Analytics plik cookie _gid przechowuje informacje o tym, w jaki sposób odwiedzający korzystają ze strony internetowej, jednocześnie tworząc raport analityczny dotyczący wydajności strony internetowej. Niektóre gromadzone dane obejmują liczbę odwiedzających, ich źródło i strony, które odwiedzają anonimowo.

Pseudonimizacja

Czym jest pseudonimizacja?

Pseudonimizacja ≠ animizacja danych

Co to oznacza w praktyce?

Szybkie Linki

Specjalizacje

Kontakt