Opracowanie

RODO – Pseudonimizacja

Pseudonimizacja jest wyjątkową kategorią przetwarzania danych osobowych, ponieważ stanowi jednocześnie środek techniczny służący ich ochronie i ułatwienie dla administratora danych w wykazaniu, że spełnia wymogi RODO.

Według art. 4 pkt 5, pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Generalnie pseudonimizacja polega na pozbawieniu informacji cechy identyfikowalności, czyli możliwości użycia jej do zidentyfikowania konkretnej osoby fizycznej. Jest to proces odwracalny i stanowi pośredni etap pomiędzy danymi osobowymi, a danymi w pełni anonimowymi.

Jak wskazuje motyw 26 preambuły, spseudonimizowane informacje wciąż pozostają danymi osobowymi. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania na podstawie takich danych, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Klasycznym przykładem pseudonimizacji jest posługiwanie się, zamiast imieniem i nazwiskiem, przypisanym konkretnej osobie fizycznej numerem identyfikacyjnym. Lista numerów wraz z powiązanymi nazwiskami znajduje się wtedy w innym miejscu i nie jest dostępna jednocześnie z głównym zbiorem danych.

RODO wielokrotnie, zarówno w swojej preambule, jak i właściwym tekście, odwołuje się do pseudonimizacji jako jednego z podstawowych instrumentów ochrony danych osobowych.

Zachęcam do dyskusji i podsyłania propozycji na kolejne opracowania związane z RODO!

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. A. Dmochowska, M. Zadrożny, Unijna reforma ochrony danych osobowych. Analiza zmian, C.H. Beck, 2016;
  3. M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, C.H. Beck, 2016;
  4. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.