Pseudonimizacja według RODO - o czym należy wiedzieć?

Nowym pojęciem, które pojawia się w rozporządzeniu unijnym dotyczącym ochrony danych osobowych (RODO) jest pseudonimizacja. Na czym ona polega?

Pseudonimizacja według RODO - o czym należy wiedzieć?

Rafał Stępniewski

21 sierpnia 2017

Całkowicie nowym pojęciem, które pojawia się w rozporządzeniu unijnym dotyczącym ochrony danych osobowych (RODO), a nieobecnym zarówno w poprzedniej ustawie europejskiej z 1995 roku oraz polskiej ustawie o ochronie danych osobowych, jest pseudonimizacja. Jaka jest definicja tego działania?

Pseudonimizacja według RODO

Ustawa europejska definiuje proces pseudonimizacji jako przetwarzanie danych osobowych w taki sposób, aby nie było możliwe zidentyfikowanie, do kogo one należą, bez dostępu do innych informacji, przechowywanych bezpiecznie w innym miejscu. Polega on na zastępowaniu jednego atrybutu (bardzo często nietypowego) w zapisie innym atrybutem. W założeniu proces pseudonimizacji powinien być odwracalny, co oznacza, że dane, które zostały “zaszyfrowane”, można odszyfrować za pomocą odpowiedniego klucza.

Przy okazji warto wspomnieć, że pseudonimizacja nie może być mylona z anonimizacją. Istotną różnicą pomiędzy tymi dwoma pojęciami oraz metodami szyfrowania danych osobowych jest fakt, że anonimizacja jest procesem nieodwracalnym. Oznacza to, że informacje osobowe, które zostały poddane temu procesowi już nigdy nie będą mogły zostać użyte w celu identyfikacji osoby, do której wcześniej należały.

Metody pseudonimizacji

Grupa Robocza - będąca niezależnym, europejskim organem doradczym w sprawie ochrony danych osobowych - wystosowała opinie, które wymienia metody pseudonimizacji, z których korzysta się najczęściej. Wśród nich jest między innymi:

  • szyfrowanie kluczem tajnym - obecność klucza pozwala jednocześnie utajnić zbiór danych i w razie konieczności ponownie go odczytać, przypisując konkretne informacje do konkretnych osób. W domyśle jedynie posiadanie klucza daje możliwość odszyfrowania danych;

  • tokenizacja - jest to technika szyfrowania jednokierunkowego i polega na zastąpieniu fragmentów danych ciągiem losowych liczb, co sprawia, że informacje te stają się bezużyteczne dla osób postronnych. Metoda ta często jest wykorzystywana w branży finansowej.

  • skracanie - czyli skrócenie wybranych wartości, tak aby odczytanie ich faktycznego znaczenia stało się niemożliwe;

Opinia Grupy Roboczej zawiera także dobre praktyki odnośnie pseudonimizacji - członkowie Grupy słusznie zauważają, że metoda ta nie zapewnia pełnej anonimowości danych w zbiorze, a stanowi jedynie “użyteczny środek bezpieczeństwa”. Tak jak zostało wspomniane wcześniej - pseudonimizacja jest procesem odwracalnym, zatem nie zapewnia ona pełnej anonimizacji danych zawartych w zbiorze i istnieje szansa, że po odszyfrowaniu mogą one zostać przypisane do konkretnych osób i pozwolą na ich zidentyfikowanie.

W opinii znaleźć też można najczęstsze błędy, których należy wystrzegać się stosując metodę pseudonimizacji, tak by gwarantowała ona pełnię bezpieczeństwa. Błędy te w szczególności dotyczą kwestii kluczy tajnych - nie powinno stosować się tych samych kluczy do szyfrowania wielu baz danych, ponieważ jeśli uzyska do niego dostęp nieodpowiednia osoba, będzie ona mogła odszyfrować wiele zbiorów danych.

Nie jest polecane również stosowanie różnych kluczy do szyfrowania różnych zbiorów użytkowników (np. jeden klucz stosuje się w celu pseudonimizacji kilkunastu wpisów o jednym użytkowniku). Generuje to ryzyko wystąpienia “wzorca”, a jego odkrycie pozwoli na łatwiejsze odszyfrowanie danych.

Kardynalnym błędem jest też przechowywanie klucza służącego do odszyfrowania danych razem z tymi danymi lub niewłaściwe zabezpieczenie tego klucza. Zbędne zdaje się wyjaśnianie, jakie konsekwencje niesie ze sobą takie zachowanie.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!