Pseudonimizacja danych – co to właściwie jest?

12-04-2018, 11:51

W związku z RODO po 25 maja br. wszystkie firmy będą musiały zadbać o odpowiednią ochronę przetwarzanych informacji. Jak przedsiębiorcy mają sobie poradzić z takim wyzwaniem w przypadku braku szczegółowych wytycznych i czy pseudonimizacja może być odpowiedzią na to pytanie?

Europejskie rozporządzenie narzuca wszystkim administratorom – czyli organom, jednostkom organizacyjnym, podmiotom lub osobom decydującym o celach i środkach przetwarzania danych – obowiązek odpowiedniego zabezpieczenia danych osobowych. Obecnie firmy muszą jedynie wykazać zgodność stosowanych środków bezpieczeństwa z rozporządzeniem o środkach zabezpieczających z 2004 r. Po 25 maja br. sytuacja się zmieni. To organizacje będą zobowiązane do samodzielnego ocenienia ryzyka naruszenia ochrony danych. RODO jedynie wskazuje ogólne obowiązki wdrożenia środków technicznych i organizacyjnych przetwarzania informacji, uwzględniających m.in. charakter, zakres, kontekst, a także wprowadzenia polityk ochrony.

Pseudonimizacja jako złoty środek?

RODO wprowadza pojęcie pseudonimizacji, które oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której one dotyczą, bez użycia dodatkowego „klucza”. Mówiąc prościej, to użycie zamiast np. imienia i nazwiska – liczby. Wymóg jest jeden, klucz z właściwymi danymi do odszyfrowania powinny być przechowywane osobno. Dzięki czemu nawet jeśli doszłoby do wycieku, osoba nieupoważniona niewiele by się z tych danych dowiedziała.

 

Czytaj także: RODO puka do drzwi. Akredytowany kurs inspektora ochrony danych (IOD). Recenzja oraz sprawdź zapisy na najbliższe akredytowane kursy IOD >>

 

Ciekawe jest to, że pseudonimizacja od pewnego czasu stosowana jest w szkołach, gdzie oceny publikuje się wraz z identyfikatorem ucznia zamiast jego imienia i nazwiska. Może być ona wygodnym sposobem na zabezpieczenie również wrażliwych danych, ponieważ znacznie złagodzone będą wymogi dotyczące ochrony informacji zapisanych w ten sposób. Warto wspomnieć, że można również zastosować anonimizację informacji, po której nie da się ich przypisać do konkretnych osób. Przez co nie muszą być zabezpieczane na tak wysokim poziomie jak te które nie podlegają procesowi anonimizacji.

Anonimizacja jest modyfikacją danych uniemożliwiającą identyfikację osoby fizycznej, pseudonimizacja jest procesem odwracalnym. Zwiększa ona bezpieczeństwo informacji, przez co pozostają one według prawa nadal danymi osobowymi. Należy zauważyć, że rozporządzenie traktuje to narzędzie jako pomocnicze, które może być wykorzystane przez Administratorów.

Przedsiębiorcy powinni zwrócić uwagę, że to jakie narzędzie ochrony zastosują wynikać będzie z analizy ryzyka w danej firmie. Zasadność użycia danego sposobu bezpieczeństwa powinno być uwzględnione już w samej fazie projektowania nowego systemu .

Autor: Marcin Kujawa, Fundacja WTB.


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.