Usuwanie danych

Anonimizować można na wiele sposobów. Najprostsza metoda polega na zastępowaniu wszystkich imion, nazwisk, ulic, miejscowości, kodów pocztowych, adresów e-mail, numerów PESEL pewnymi określonymi danymi.

UPDATE TabelaDaneOsobowe

SET imie = ‘Anonim’, nazwisko=’Anonimowy, adres=’Zanonimizowana’, kod=’00-000’, miejscowosc=’Polska’,
mail=’a.a@anonim.pl’, PESEL=’11111111111’, plec=’K’, data_ur=”31/12/2999’

 

Oczywiście taka metoda zawiedzie, jeśli system sprawdza poprawność danych – w podanym przykładzie data urodzenia i płeć jest niezgodna z danymi zaszytymi w numerze PESEL, jego cyfra kontrolna też jest nieprawidłowa. Taka prosta anonimizacja na niewiele się zda, jeśli w bazie występują pola, które muszą mieć unikalne wartości1. Najlepiej opracować własne narzędzia do anonimizowania, w których data urodzenia i płeć będą losowane, a numer PESEL generowany na ich podstawie2.

Anonimizacja jest obecna w polskich przepisach już od pewnego czasu – w Zarządzeniu nr 12/2008 Pierwszego Prezesa Sądu Najwyższego z dnia 15 kwietnia 2008 r. w sprawie anonimizacji orzeczeń i zarządzeń wydawanych w Sądzie Najwyższym oraz wokand Sądu Najwyższego:

§ 1. Ustala się następujące zasady anonimizacji orzeczeń i zarządzeń wydanych w Sądzie Najwyższym:

  1. Anonimizacja nazwisk, pseudonimów i nazw:
  • nazwiska stron postępowania i innych uczestników postępowania, a także ich pseudonimy, należy usunąć, pozostawiając imię i pierwszą literę nazwiska, np. Jan Nowak – po anonimizacji: Jan N.;
  • zasady określone w punkcie a) stosuje się również, gdy imię i nazwisko stanowi część nazwy spółki, przedsiębiorstwa lub innych podmiotów obrotu prawnego, niebędących osobami fizycznymi;
  • w przypadku występowania w sprawie imion i nazwisk takich samych lub zaczynających się na takie same litery, np. Jan Nowak i Jan Nowak lub Joanna Niegocka i Janusz Nawrocki, wówczas pierwszą osobę oznaczamy jako J.N., a drugą jako X.Y.

 

Nie tylko dane tekstowe podlegają anonimizacji. Stosuje się ją także w przypadku obrazów – będzie to zakrycie danych, ewentualnie mocna ich pikselizacja bądź silne rozmycie. Nie powinno używać się metod, które można odwrócić, takich jak np. zniekształcenie w postaci spirali. Typowe pułapki anonimizowania obrazów można poznać w artykule na stronie PGS Software zatytułowanym Co Niebezpiecznik zrobił źle, czyli jak nie anonimizować zrzutów ekranu3.

 

Usuwanie danych z dysków i pamięci przenośnych

 

Dane z dysków lub pamięci przenośnych należy usuwać, korzystając ze specjalnych programów. Jeśli dysk jest uszkodzony, to przed przekazaniem go do utylizacji trzeba zniszczyć nośnik informacji. W profesjonalnych zastosowaniach używa się tzw. degaussera. Jest to urządzenie o wyglądzie wagi sklepowej, na którym kładzie się dysk i za pomocą silnego impulsu magnetycznego niszczy jego zawartość. Po takiej operacji dysk nie nadaje się już do użytku. Niestety, są to drogie urządzenia, dlatego w niedużej firmie można sprawę załatwić młotkiem lub wiertarką.

 

Płyty CD i DVD najlepiej zniszczyć w niszczarce. Wiele z nich oferuje taką funkcjonalność. Ostatecznie można też je przeciąć na pół np. nożyczkami.

 

Sprzęt komputerowy, który będzie odsprzedawany bądź przekazany jako darowizna innym podmiotom, należy wcześniej pozbawić danych. Można wyjąć i przekazać urządzenia bez nośników, można też skutecznie usunąć z nich dane z użyciem specjalnych programów. Zwykłe usunięcie danych nie kasuje ich z dysku, np. w systemie Windows usunięcie danych powoduje przesunięcie ich do kosza, a usunięcie ich z kosza powoduje, że nie są widoczne dla systemu operacyjnego, miejsce po nich jest zwolnione do zapisu, jednak zanim zostaną nadpisane, wciąż można je odczytać (np. programem Foremost).

Formatowanie dysku także nie usuwa danych z dysku. Dlatego do usuwania danych lepiej skorzystać ze specjalnych programów, które nie tylko usuwają pliki, ale także nadpisują miejsce po nich (np. Eraser4, DiskWipe5). W ostateczności, gdy nie ma pod ręką takiego programu, można użyć bardzo prostej metody: należy usunąć dane, a następnie dysk zapisać do samego końca dowolnymi danymi.

Nowoczesne dyski SSD wydają się pozbawione tego problemu, jeśli obsługują funkcje TRIM. Wtedy dane usunięte przez system są automatycznie czyszczone z dysku poleceniami TRIM. Nie warto jednak ufać takim zapewnieniom i na wszelki wypadek lepiej takie dyski traktować podobnie jak dyski magnetyczne.

 

Zapasowe kopie danych

 

Zapasowe kopie danych mają ogromne znaczenie dla przedsiębiorcy, który przetwarza dane komputerowo. Wykonywanie kopii jest swojego rodzaju polisą ubezpieczeniową, pozwalającą odzyskać dane w razie awarii bądź gdy dane zostaną usunięte przez przypadek. Kopie zapasowe należy wykonywać regularnie i przechowywać poza pomieszczeniem, w którym są wykonywane. Najlepiej przechowywać je w innym miejscu niż siedziba przedsiębiorcy, można je nawet zlecić innej firmie do przechowywania.

W IT zapasowe kopie danych określa się mianem backupu.Bardzo dużo szumu jest wokół tego, że trzeba będzie usuwać dane z kopii zapasowych. Celem wykonywania zapasowych kopii danych nie jest przetwarzanie danych osobowych jako takie, ale zapewnienie sobie możliwości odtworzenia systemów informatycznych na wypadek ich awarii. Jest to też spełnienie obowiązku wynikającego z prawa, np. z ustawy o rachunkowości. Dlatego zapasowej kopii danych nie powinno się modyfikować, bo jeśli dane na niej zostaną zmienione, stracą swoją integralność i kopia stanie się bezużyteczna. Jednak należy zadbać o to, aby wdrożyć procedury zapobiegające ewentualnemu odtworzeniu z kopii zapasowej tych danych osobowych, które zostały już kiedyś usunięte lub aby odtworzone dane z kopii zapasowej zostały natychmiast usunięte, jeśli te dane podlegały prawu do zapomnienia.

Prawo do usunięcia danych służy temu, aby dalej nie przetwarzać danych osobowych i w ten sposób nie wpływać na prawa i wolności osoby, której dane dotyczą. Jeśli zastosuje się mechanizmy natychmiastowego usuwania danych z odtworzonych systemów, to te prawa pozostaną nienaruszone.

 

Środowiska testowe i developerskie

 

Na stronach warszawskiej FSO można przeczytać, że: po opuszczeniu hali samochody testowane są na torze, na którym kontrolerzy sprawdzają poprawność montażu, sprawność mechanizmów, instalacji elektrycznej oraz dokonują ostatecznej inspekcji. Tor testowy jest niezbędny, gdyż testowanie prototypów na drogach publicznych mogłoby być niebezpieczne. Podobnie ma się z systemami komputerowymi – zanim trafią do użytkowników, muszą przejść rozmaite testy w wydzielonym środowisku. Jednak nierzadko w środowiskach testowych spotyka się... kopię systemu produkcyjnego, a to oznacza, że są tam dane osobowe. Zwykłe odtworzenie bazy produkcyjnej w środowisku testowym jest najszybsze i najtańsze. Poza tym wciąż wiele organizacji uważa, że testowanie na nieprawdziwych danych (wygenerowanych albo wymieszanych) jest niewiarygodne. A przecież znajdują tam dane osobowe i są one znacznie słabiej chronione, bo w zabezpieczenia takich środowisk inwestuje się znacznie mniej, a to powoduje większe ryzyko nieuprawnionego dostępu do danych czy nawet ich „wycieku”. Wysokie kary stanowią mocny argument za tym, aby ten obszar uporządkować.

I tu ponownie przyda się anonimizacja. Trzeba pamiętać, że nie ma obowiązku anonimizowania wszystkich danych. Wystarczy jej poddać tylko te informacje, które pozwalają zidentyfikować osobę bądź nawiązać z nią kontakt. Wszystkie pozostałe informacje można pozostawić nienaruszone.

 

Odwołanie zgody tak samo łatwe

 

Zupełną nowością są warunki odwołania zgody. Zgodnie z art. 7 ust. 3 RODO: wycofanie zgody musi być równie łatwe jak jej wyrażenie, zatem konieczne będzie zaimplementowanie funkcji odwoływania zgody w tych systemach, w których dzisiaj można ją wyrazić, ale odwoływać trzeba innymi sposobami, np. listownie. Oczywiście, odwołanie zgody będzie skutkować usunięciem danych.