Pseudonimizacja danych

W RODO wyraźnie zdefiniowano, czym jest pseudonimizacja. Takie mechanizmy organizacje stosowały już znacznie wcześniej, ale termin nie występował w przepisach o ochronie danych osobowych i nie było do końca jasne, czy takie pseudonimowe dane są danymi osobowymi, czy też nie.

„Pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobiefizycznej.

 

Motyw 28 RODO nadmienia, że pseudonimizacja może zmniejszać ryzyko:

Pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Tym samym bezpośrednie wprowadzenie pojęcia „pseudonimizacja” w niniejszym rozporządzeniu nie służy wykluczeniu innych środków ochrony danych.

 

Tabela poniżej przedstawia pseudonimowe dane:

 

Identyfikator klienta Data
udzielenia
pożyczki
Następna
rata
Płatna
w terminie do
010908

25/1/2017

249 zł 24/2/2017
204364 29/11/2016 1975 zł 28/2/2017

 

Jeśli takie dane dostaną się w niepowołane ręce, wpływ na prywatność osób będzie zapewne niewielki, bo nie uda się ustalić, jakie konkretnie osoby kryją się za identyfikatorem 010908 czy 204364.

 

Pseudonimizacja – to szczególny sposób przetwarzania danych, podobny do anonimizacji, z tą istotną różnicą, że proces ten jest odwracalny. Pseudonimizacja odbywa się według określonego klucza, który musi być przechowywany osobno. Jako klucza najlepiej używać nadanego przez organizację unikalnego numeru klienta, pracownika,
agenta czy też numeru umowy. Numeru PESEL, NIP lub numeru dokumentu tożsamości lepiej nie używać, ponieważ numer PESEL – to już dane osobowe. Z podobnego powodu nie należy używać adresu e-mail i numeru telefonu.

 

Pseudonimizacja stosowana jest od pewnego czasu w innych rozwiązaniach. Przykładowo, w Visa Tokenisation Service1 pseudonimizacja określana jest mianem tokenizacji i polega na zastąpieniu wrażliwych danych, np. numeru karty, innym ciągiem cyfr (bezpiecznym tokenem płatniczym) w wyniku czego dane rachunku karty pozostają niedostępne.