Anonimizacja danych: Różnice pomiędzy wersjami
m (→Bibliografia: Clean up, replaced: →) |
m (cleanup bibliografii i rotten links) |
||
(Nie pokazano 11 wersji utworzonych przez 2 użytkowników) | |||
Linia 1: | Linia 1: | ||
'''Anonimizacja danych''' to [[proces]], który ma na celu zlikwidowanie związku pomiędzy danymi osobowymi a osobami, do których odnoszą się te [[dane]]. Po takim procesie dane przestają być danymi osobowymi ponieważ nie ma możliwości utożsamienia tych danych lub powiązania ze zidentyfikowaną osobą fizyczną. Charakterystyczną cecha dla anonimizacji jest fakt, iż przetworzone treści są nieodwracalnie przetworzone (Ministerstwo Cyfryzacji, 2018, s. 15) | |||
'''Anonimizacja danych''' to [[proces]], który ma na celu zlikwidowanie związku pomiędzy danymi osobowymi a osobami, do których odnoszą się te [[dane]]. Po takim procesie dane przestają być danymi osobowymi ponieważ nie ma możliwości utożsamienia tych danych lub powiązania ze zidentyfikowaną osobą fizyczną. Charakterystyczną cecha dla anonimizacji jest fakt, iż przetworzone treści są nieodwracalnie przetworzone | |||
==TL;DR== | ==TL;DR== | ||
Linia 21: | Linia 6: | ||
==Anonimizacja a ochrona danych osobowych== | ==Anonimizacja a ochrona danych osobowych== | ||
[[Rozporządzenie]] o ochronie danych osobowych wymaga od podmiotów przetwarzających dane osobowe dostosowania systemów bezpieczeństwa do skali potencjalnego ryzyka naruszenia ochrony danych. W tej kwestii przepisy wprowadzają między innymi anonimizację (drugim pojęciem jest pseudonimizacja). Proces ten jest jedną z operacji wykonywanych na danych podlegających ochronie, przewidzianych przez przepisy unijne jednak sama anonimizacja danych nie została zdefiniowana przez [[prawo]]. (S. Piątek, 2014, s. 49) | [[Rozporządzenie]] o ochronie danych osobowych wymaga od podmiotów przetwarzających dane osobowe dostosowania systemów bezpieczeństwa do skali potencjalnego ryzyka naruszenia ochrony danych. W tej kwestii przepisy wprowadzają między innymi anonimizację (drugim pojęciem jest pseudonimizacja). Proces ten jest jedną z operacji wykonywanych na danych podlegających ochronie, przewidzianych przez przepisy unijne jednak sama anonimizacja danych nie została zdefiniowana przez [[prawo]]. (S. Piątek, 2014, s. 49) | ||
W świetle unijnego prawa [[motyw]] 26 preambuły Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 - RODO "zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. " (''Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679'', 2016, s. 5) Tak więc w momencie anonimizacji danych, nowo utworzone kategorie danych przestają być obejmowane ochroną danych osobowych. Jednak należy pamiętać, że to czy kategorie kwalifikują się jako "dane zanonimizowane" należy analizować i rozstrzygać oddzielnie dla wszelakich przypadków dodatkowo zależnie od poziomu ryzyka | W świetle unijnego prawa [[motyw]] 26 preambuły Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 - RODO "zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. " (''Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679'', 2016, s. 5) Tak więc w momencie anonimizacji danych, nowo utworzone kategorie danych przestają być obejmowane ochroną danych osobowych. Jednak należy pamiętać, że to czy kategorie kwalifikują się jako "dane zanonimizowane" należy analizować i rozstrzygać oddzielnie dla wszelakich przypadków dodatkowo zależnie od poziomu ryzyka (S. Piątek, 2014, s. 49) | ||
Natomiast w świetle prawa polskiego, konkretnie w kwestii statystyki publicznej, przepisy również przewidują proces anonimizacji, a nawet zobowiązuje służby statystyki publicznej do stosowania takiego przetwarzania danych po opracowaniu. Zebrane dane dotyczące osób fizycznych po opracowaniu muszą być przechowywane wyłącznie jako zanonimizowane, proces ten musi nastąpić do 10 lat od momentu zebrania tych danych, wtedy kiedy są one przechowywane. [[Wyjątek]] stanowią dane osobowe przechowywane w formie operatorów do badań statystycznych. (''[[Ustawa]] o statystyce publicznej'', 1995, s. 22-23) | Natomiast w świetle prawa polskiego, konkretnie w kwestii statystyki publicznej, przepisy również przewidują proces anonimizacji, a nawet zobowiązuje służby statystyki publicznej do stosowania takiego przetwarzania danych po opracowaniu. Zebrane dane dotyczące osób fizycznych po opracowaniu muszą być przechowywane wyłącznie jako zanonimizowane, proces ten musi nastąpić do 10 lat od momentu zebrania tych danych, wtedy kiedy są one przechowywane. [[Wyjątek]] stanowią dane osobowe przechowywane w formie operatorów do badań statystycznych. (''[[Ustawa]] o statystyce publicznej'', 1995, s. 22-23) | ||
Procesowi anonimizacji mogą zostać poddane jedynie dane legalnie przetwarzane przez przedsiębiorcę oraz takie, które zostały pozyskane zgodnie z prawem. W świetle prawa ochrony danych osobowych anonimizacja zawiera się w pojęciu przetwarzania, ale operacja na już zanonimizowanych danych nie stanowi przetwarzania | Procesowi anonimizacji mogą zostać poddane jedynie dane legalnie przetwarzane przez przedsiębiorcę oraz takie, które zostały pozyskane zgodnie z prawem. W świetle prawa ochrony danych osobowych anonimizacja zawiera się w pojęciu przetwarzania, ale operacja na już zanonimizowanych danych nie stanowi przetwarzania (S. Piątek, 2014, s. 51, 57) | ||
<google>n</google> | |||
==Anonimizacja a pseudonimizacja== | ==Anonimizacja a pseudonimizacja== | ||
W przeciwieństwie do animizacji, w przepisach unijnych znajdujemy definicję pojęcia pseudonimizacji. RODO definiuje proces jako "przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe [[informacje]] są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. | W przeciwieństwie do animizacji, w przepisach unijnych znajdujemy definicję pojęcia pseudonimizacji. RODO definiuje proces jako "przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe [[informacje]] są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej". (''Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679'', 2016, s. 33) Przykładem może być posługiwanie się numerem identyfikacyjnym zamiast pełnym imieniem i nazwiskiem. | ||
Fundamentalną cechą odróżniającą pseudonimizację od anonimizacji jest odwracalność. Anonimizacja jest procesem nieodwracalnym, pseudonimizacja zaś jest odwracalna. Istotnym jest to, że dane spseudonimizowane podlegają regulacjom dotyczącym ochrony danych osobowych. W kwestii pseudonimizacji możliwe jest przypisanie danych do konkretnych osób przy użyciu "dodatkowych informacji" (klucza lub kodu szyfrowania), w przeciwieństwie do anonimizacji, gdzie takie "dodatkowe informacje" są niedostępne | Fundamentalną cechą odróżniającą pseudonimizację od anonimizacji jest odwracalność. Anonimizacja jest procesem nieodwracalnym, pseudonimizacja zaś jest odwracalna. Istotnym jest to, że dane spseudonimizowane podlegają regulacjom dotyczącym ochrony danych osobowych. W kwestii pseudonimizacji możliwe jest przypisanie danych do konkretnych osób przy użyciu "dodatkowych informacji" (klucza lub kodu szyfrowania), w przeciwieństwie do anonimizacji, gdzie takie "dodatkowe informacje" są niedostępne (D. Zetoony, 2016, s. 7) | ||
==Reguły anonimizacji danych== | ==Reguły anonimizacji danych== | ||
Anonimizacja polega na wykonaniu jednej z niżej wymienionych czynności: | Anonimizacja polega na wykonaniu jednej z niżej wymienionych czynności: | ||
Linia 44: | Linia 29: | ||
3. Zamianie całej frazy na parę inicjałów. Stosujemy ją jedynie w przypadku imion i nazwisk osób fizycznych. | 3. Zamianie całej frazy na parę inicjałów. Stosujemy ją jedynie w przypadku imion i nazwisk osób fizycznych. | ||
4. Zamianie pojedynczych wyrazów lub dłuższych ich ciągów na wielokropek. Stosujemy ją w pozostałych przypadkach. | 4. Zamianie pojedynczych wyrazów lub dłuższych ich ciągów na wielokropek. Stosujemy ją w pozostałych przypadkach". | ||
(M. Truszkowska, 2013, s. 6) | (M. Truszkowska, 2013, s. 6) | ||
Linia 81: | Linia 66: | ||
(Bartosz Mendyk, 2017, s. 24) | (Bartosz Mendyk, 2017, s. 24) | ||
{{infobox5|list1={{i5link|a=[[RODO]]}} — {{i5link|a=[[Cyberbezpieczeństwo]]}} — {{i5link|a=[[Prawo przewozowe]]}} — {{i5link|a=[[Tajemnica zawodowa]]}} — {{i5link|a=[[Dane osobowe]]}} — {{i5link|a=[[Ochrona danych osobowych]]}} — {{i5link|a=[[Wzór użytkowy]]}} — {{i5link|a=[[Klauzula poufności]]}} — {{i5link|a=[[Znak towarowy]]}} }} | |||
==Bibliografia== | ==Bibliografia== | ||
<noautolinks> | <noautolinks> | ||
* Mendyk B. (2017), ''Ochrona danych osobowych - poradnik dla małych i średnich przedsiębiorców'', Polska Agencja Rozwoju Przedsiębiorczości, Warszawa | |||
* Mendyk B. (2017) '' Ochrona danych osobowych | * Piątek S., Piątek P. (2014), ''Anonimizacja danych objętych tajemnicą telekomunikacyjną'', internetowy Kwartalnik Antymonopolowy i Regulacyjny, Wydawnictwo Naukowe Wydziału Zarządzania Uniwersytetu Warszawskiego, Warszawa | ||
* ''Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)'' [https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679 Document 32016R0679] | |||
* Piątek S., Piątek P. (2014) ''Anonimizacja danych objętych tajemnicą telekomunikacyjną'', | * Strona internetowa: ''[https://www.gov.pl/web/cyfryzacja/rodo-informator RODO informator]'' | ||
* Truszkowska M. (2013) ''Zarządzenie Nr 7/2013 Prezesa Sądu Okręgowego w Ostrołęce z dnia 25 marca 2013 r'', Portal Orzeczeń, Ostrołęka | * Truszkowska M. (2013), ''Zarządzenie Nr 7/2013 Prezesa Sądu Okręgowego w Ostrołęce z dnia 25 marca 2013 r.'', Portal Orzeczeń, Ostrołęka | ||
* ''Ustawa o statystyce | * ''Ustawa z dnia 29 czerwca 1995 r. o statystyce publicznej.'' [https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=wdu19950880439 Dz.U. 1995 nr 88 poz. 439] | ||
* Zetoony D. (2016) [ | * Zetoony D. (2016), ''[http://www.bbmri-eric.eu/wp-content/uploads/FAQ-GDPR-Polish.pdf Ogólne rozporządzenie UE o ochronie danych (RODO) Odpowiedzi na często zadawane pytania]'', ABA Book Publishing, Chicago | ||
</noautolinks> | </noautolinks> | ||
{{a|Urszula Wojtas}} | {{a|Urszula Wojtas}} | ||
[[Kategoria:Bezpieczeństwo informacji]] | |||
[[Kategoria: | |||
{{msg:law}} | {{msg:law}} | ||
{{#metamaster:description|Anonimizacja danych - usunięcie powiązań między danymi osobowymi a konkretnymi osobami. Dane tracą charakter danych osobowych i nie można ich zidentyfikować. Przetworzone treści są nieodwracalnie przetworzone.}} | {{#metamaster:description|Anonimizacja danych - usunięcie powiązań między danymi osobowymi a konkretnymi osobami. Dane tracą charakter danych osobowych i nie można ich zidentyfikować. Przetworzone treści są nieodwracalnie przetworzone.}} |
Aktualna wersja na dzień 17:22, 19 gru 2023
Anonimizacja danych to proces, który ma na celu zlikwidowanie związku pomiędzy danymi osobowymi a osobami, do których odnoszą się te dane. Po takim procesie dane przestają być danymi osobowymi ponieważ nie ma możliwości utożsamienia tych danych lub powiązania ze zidentyfikowaną osobą fizyczną. Charakterystyczną cecha dla anonimizacji jest fakt, iż przetworzone treści są nieodwracalnie przetworzone (Ministerstwo Cyfryzacji, 2018, s. 15)
TL;DR
Anonimizacja danych to proces, który usuwa związek między danymi osobowymi a konkretnymi osobami. Przetworzone dane stają się nieodwracalnie przetworzone. Anonimizacja jest wymagana zgodnie z przepisami o ochronie danych osobowych. W przeciwieństwie do anonimizacji, pseudonimizacja jest odwracalna i pozwala na przypisanie danych do konkretnych osób przy użyciu dodatkowych informacji. Istnieją reguły anonimizacji danych, takie jak zamiana fraz na pojedyncze inicjały lub wielokropek.
Anonimizacja a ochrona danych osobowych
Rozporządzenie o ochronie danych osobowych wymaga od podmiotów przetwarzających dane osobowe dostosowania systemów bezpieczeństwa do skali potencjalnego ryzyka naruszenia ochrony danych. W tej kwestii przepisy wprowadzają między innymi anonimizację (drugim pojęciem jest pseudonimizacja). Proces ten jest jedną z operacji wykonywanych na danych podlegających ochronie, przewidzianych przez przepisy unijne jednak sama anonimizacja danych nie została zdefiniowana przez prawo. (S. Piątek, 2014, s. 49)
W świetle unijnego prawa motyw 26 preambuły Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 - RODO "zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. " (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, 2016, s. 5) Tak więc w momencie anonimizacji danych, nowo utworzone kategorie danych przestają być obejmowane ochroną danych osobowych. Jednak należy pamiętać, że to czy kategorie kwalifikują się jako "dane zanonimizowane" należy analizować i rozstrzygać oddzielnie dla wszelakich przypadków dodatkowo zależnie od poziomu ryzyka (S. Piątek, 2014, s. 49)
Natomiast w świetle prawa polskiego, konkretnie w kwestii statystyki publicznej, przepisy również przewidują proces anonimizacji, a nawet zobowiązuje służby statystyki publicznej do stosowania takiego przetwarzania danych po opracowaniu. Zebrane dane dotyczące osób fizycznych po opracowaniu muszą być przechowywane wyłącznie jako zanonimizowane, proces ten musi nastąpić do 10 lat od momentu zebrania tych danych, wtedy kiedy są one przechowywane. Wyjątek stanowią dane osobowe przechowywane w formie operatorów do badań statystycznych. (Ustawa o statystyce publicznej, 1995, s. 22-23)
Procesowi anonimizacji mogą zostać poddane jedynie dane legalnie przetwarzane przez przedsiębiorcę oraz takie, które zostały pozyskane zgodnie z prawem. W świetle prawa ochrony danych osobowych anonimizacja zawiera się w pojęciu przetwarzania, ale operacja na już zanonimizowanych danych nie stanowi przetwarzania (S. Piątek, 2014, s. 51, 57)
Anonimizacja a pseudonimizacja
W przeciwieństwie do animizacji, w przepisach unijnych znajdujemy definicję pojęcia pseudonimizacji. RODO definiuje proces jako "przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej". (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, 2016, s. 33) Przykładem może być posługiwanie się numerem identyfikacyjnym zamiast pełnym imieniem i nazwiskiem.
Fundamentalną cechą odróżniającą pseudonimizację od anonimizacji jest odwracalność. Anonimizacja jest procesem nieodwracalnym, pseudonimizacja zaś jest odwracalna. Istotnym jest to, że dane spseudonimizowane podlegają regulacjom dotyczącym ochrony danych osobowych. W kwestii pseudonimizacji możliwe jest przypisanie danych do konkretnych osób przy użyciu "dodatkowych informacji" (klucza lub kodu szyfrowania), w przeciwieństwie do anonimizacji, gdzie takie "dodatkowe informacje" są niedostępne (D. Zetoony, 2016, s. 7)
Reguły anonimizacji danych
Anonimizacja polega na wykonaniu jednej z niżej wymienionych czynności:
1. "Zamianie całej frazy na pojedynczy inicjał. Stosujemy ją przy anonimizacji miejscowości i nazw geograficznych oraz występujących samotnie w tekście imion lub nazwisk.
2. Zamiana całej frazy na pojedynczy inicjał, po którym następuje wielokropek. Stosujemy ją w przypadku nazw urządzeń, pojazdów oraz handlowych nazw różnych substancji czy też innych produktów, w sytuacji gdy mają więcej niż 1 wyraz.
3. Zamianie całej frazy na parę inicjałów. Stosujemy ją jedynie w przypadku imion i nazwisk osób fizycznych.
4. Zamianie pojedynczych wyrazów lub dłuższych ich ciągów na wielokropek. Stosujemy ją w pozostałych przypadkach".
(M. Truszkowska, 2013, s. 6)
Przykład:
Lp. | Imię i nazwisko pracownika | Stanowisko | Wynagrodzenie brutto | Wykształcenie |
---|---|---|---|---|
Dane przed anonimizacją | ||||
1. | Jan Kowalski | Naczelnik Biura Obsługi Klienta | 5530zł | wyższe mgr |
2. | Adam Nowak | Naczelnik Działu Księgowego | 5550zł | wyższe mgr |
3. | Alina Janowsk | Naczelnik Działu Zamówień Publicznych | 5500zł | wyższe inż. |
4. | Karol Nowakowski | Specjalista ds. kadrowych | 4500zł | wyższe lic. |
5. | Anna Kowalska | Specjalista ds. finansowych | 4780zł | wyższe mgr |
Dane po anonimizacji | ||||
1. | Naczelnik | 5530zł | wyższe | |
2. | Naczelnik | 5550zł | wyższe | |
3. | Naczelnik | 5500zł | wyższe | |
4. | Specjalista | 4500zł | wyższe | |
5. | Specjalista | 4780zł | wyższe |
(Bartosz Mendyk, 2017, s. 24)
Anonimizacja danych — artykuły polecane |
RODO — Cyberbezpieczeństwo — Prawo przewozowe — Tajemnica zawodowa — Dane osobowe — Ochrona danych osobowych — Wzór użytkowy — Klauzula poufności — Znak towarowy |
Bibliografia
- Mendyk B. (2017), Ochrona danych osobowych - poradnik dla małych i średnich przedsiębiorców, Polska Agencja Rozwoju Przedsiębiorczości, Warszawa
- Piątek S., Piątek P. (2014), Anonimizacja danych objętych tajemnicą telekomunikacyjną, internetowy Kwartalnik Antymonopolowy i Regulacyjny, Wydawnictwo Naukowe Wydziału Zarządzania Uniwersytetu Warszawskiego, Warszawa
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG) Document 32016R0679
- Strona internetowa: RODO informator
- Truszkowska M. (2013), Zarządzenie Nr 7/2013 Prezesa Sądu Okręgowego w Ostrołęce z dnia 25 marca 2013 r., Portal Orzeczeń, Ostrołęka
- Ustawa z dnia 29 czerwca 1995 r. o statystyce publicznej. Dz.U. 1995 nr 88 poz. 439
- Zetoony D. (2016), Ogólne rozporządzenie UE o ochronie danych (RODO) Odpowiedzi na często zadawane pytania, ABA Book Publishing, Chicago
Autor: Urszula Wojtas
Treść tego artykułu została oparta na aktach prawnych. Zwróć uwagę, że niektóre akty prawne mogły ulec zmianie od czasu publikacji tego tekstu. |