Pseudonimizacja danych osobowych – co to takiego?

« Aktualności 02 lipca 2019

Ogólne rozporządzenie o ochronie danych osobowych („RODO”) wprowadziło nowe pojęcie, nieznane wcześniejszym przepisom regulującym ochronę danych osobowych, tj. „pseudonimizację”. Z naszego doświadczenia wynika, iż mimo zdefiniowania tego pojęcia w art. 4 pkt 5 RODO, znaczna grupa przedsiębiorców nie do końca wie, co ono właściwie oznacza i z czym się wiąże w praktyce. W niniejszym artykule postaramy się najprościej jak to możliwe wyjaśnić wątpliwości związane z pseudonimizacją.

zdjęcie_23

Zgodnie z definicją zawartą w RODO, pseudonimizacja to:

  1. przetworzenie danych osobowych,
  2. w taki sposób, aby nie można było ich przypisać konkretnej osobie fizycznej bez dodatkowych informacji,
  3. przy czym dodatkowe informacje są przechowywane osobno od danych spseudonimizowanych i są objęte środkami technicznymi i organizacyjnymi, które uniemożliwiają przypisanie tych informacji do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Co powyższa definicja oznacza w praktyce? Otóż w skrócie - określone informacje są zastępowane przez inne oznaczenia.

Najprostszy i najbardziej typowy przykład: imię i nazwisko danej osoby zastępujemy numerem ID lub pseudonimem. Przy czym oddzielnie przechowujemy tylko numery (czyli dane spseudonimizowane) oraz „klucz do ich rozszyfrowania”, czyli listę z imionami i nazwiskami oraz przypisanymi do nich numerami. Bez listy z kluczem nie można „rozszyfrować” danych spseudonimizowanych (w tym przypadku numerów), tj. przypisać ich do konkretnych osób fizycznych. Jak wynika z powyższego, pseudonimizacja jest procesem odwracalnym (w przeciwieństwie do anonimizacji danych osobowych).

Po co stosuje się pseudonimizację? Aby utrudnić identyfikację konkretnej osoby fizycznej.

RODO wprost przewiduje, że pseudonimizacja może stanowić jeden z mechanizmów zabezpieczenia danych. Z uwagi na to, iż jest to środek zabezpieczający dane osobowe, należy mieć na uwadze, iż dane spseudonimizowane i informacje pozwalające je rozkodować nie mogą być przechowywane w jednym miejscu ani przekazywane razem innym podmiotom. W procesie pseudonimizacji danych należy odpowiednio podzielić role i zadania – tj. ustalić, kto wygeneruje np. numery ID, kto będzie przechowywał dane pozwalające na odwrócenie pseudonimizacji itd.

Pseudonimizacja danych osobowych a zawarcie umowy powierzenia przetwarzania danych osobowych.

Przejdźmy do zagadnienia, które w praktyce wzbudza najwięcej wątpliwości wśród przedsiębiorców: czy jeśli przekażemy naszemu podwykonawcy spseudonimizowane dane osobowe (np. tylko numery ID), to czy musimy zawierać umowę powierzenia z tym podmiotem? Z naszych doświadczeń wynika, że zazwyczaj pada odpowiedź: „nie trzeba”. Następnie pada argument: „przecież podwykonawca dostaje tylko numery, nie może ich przypisać do konkretnych osób fizycznych, czyli nie ma w tym przypadku powierzenia przetwarzania danych osobowych.”

Niestety, powyższa odpowiedź nie jest prawidłowa. W motywie 26 RODO zostało wyraźnie wskazane, że spseudonimizowane dane, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za dane osobowe. Z kolei motyw 75 RODO przewiduje, że ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, m.in. jeżeli przetwarzanie może poskutkować nieuprawnionym odwróceniem pseudonimizacji.

Jakie są tego konsekwencje?

Do spseudonimizowanych danych osobowych należy stosować wszystkie regulacje dotyczące ochrony danych osobowych. W szczególności więc, jeśli spseudonimizowane dane są przekazywane podwykonawcy, należy uznać go za podmiot przetwarzający dane osobowe i zawrzeć z nim umowę powierzenia przetwarzania danych. W doktrynie prawa wskazuje się, że nieposiadanie informacji niezbędnych do zidentyfikowania konkretnej osoby nie powoduje, że dane spseudonimizowane przestają być danymi osobowymi. Inaczej jest w przypadku anonimizacji – wskutek tego nieodwracalnego procesu nie mamy już do czynienia z danymi osobowymi.

Jakie wnioski płyną z powyższych uwag?

  1. Speudonimizowane dane osobowe to nadal dane osobowe nawet wtedy, kiedy otrzymaliśmy je bez informacji pozwalających na ich „rozkodowanie”. Do danych spseudonimizowanych stosujemy przepisy RODO i innych aktów prawnych związanych z ochroną danych osobowych. W szczególności żadne przepisy RODO nie wyłączają w tym przypadku obowiązku zawarcia umowy powierzenia z podmiotem przetwarzającym takie dane.
  2. Pseudonimizacja jest jednym ze sposobów zabezpieczenia danych. Nie można jednak odgórnie stwierdzić, iż jest to środek wystarczający. Należy w konkretnej sytuacji ocenić, czy będzie on stanowił adekwatną ochronę. Z pewnością jednak przeprowadzenie procesu pseudonimizacji danych przyczyni się do zwiększenia ich ochrony.

2 lipca 2019 r., adw. Agnieszka Rapcewicz

   Nasza strona używa plików cookies. Pliki cookies wykorzystujemy w celu umożliwienia prawidłowego działania naszej strony internetowej oraz w celu prowadzenia anonimowych statystyk i innych działań analitycznych przedstawiających sposób korzystania ze strony internetowej przez użytkowników. Dalsze korzystanie ze strony internetowej oznacza zgodę na ich zapis lub wykorzystanie. Użytkownik może samodzielnie dokonać zmiany warunków przechowywania plików cookies w przeglądarce internetowej, z której korzysta.

Więcej informacji, w szczególności dotyczących przetwarzania danych osobowych, znajduje się w Polityce prywatności dostępnej tu.