Anonimizacja danych: Różnice pomiędzy wersjami
m (Dodanie TL;DR) |
m (Dodanie MetaData Description) |
||
Linia 98: | Linia 98: | ||
[[Kategoria:Unia Europejska]] | [[Kategoria:Unia Europejska]] | ||
{{msg:law}} | {{msg:law}} | ||
{{#metamaster:description|Anonimizacja danych - usunięcie powiązań między danymi osobowymi a konkretnymi osobami. Dane tracą charakter danych osobowych i nie można ich zidentyfikować. Przetworzone treści są nieodwracalnie przetworzone.}} |
Wersja z 22:01, 9 paź 2023
Anonimizacja danych |
---|
Polecane artykuły |
Anonimizacja danych to proces, który ma na celu zlikwidowanie związku pomiędzy danymi osobowymi a osobami, do których odnoszą się te dane. Po takim procesie dane przestają być danymi osobowymi ponieważ nie ma możliwości utożsamienia tych danych lub powiązania ze zidentyfikowaną osobą fizyczną. Charakterystyczną cecha dla anonimizacji jest fakt, iż przetworzone treści są nieodwracalnie przetworzone. (Ministerstwo Cyfryzacji, 2018, s. 15)
TL;DR
Anonimizacja danych to proces, który usuwa związek między danymi osobowymi a konkretnymi osobami. Przetworzone dane stają się nieodwracalnie przetworzone. Anonimizacja jest wymagana zgodnie z przepisami o ochronie danych osobowych. W przeciwieństwie do anonimizacji, pseudonimizacja jest odwracalna i pozwala na przypisanie danych do konkretnych osób przy użyciu dodatkowych informacji. Istnieją reguły anonimizacji danych, takie jak zamiana fraz na pojedyncze inicjały lub wielokropek.
Anonimizacja a ochrona danych osobowych
Rozporządzenie o ochronie danych osobowych wymaga od podmiotów przetwarzających dane osobowe dostosowania systemów bezpieczeństwa do skali potencjalnego ryzyka naruszenia ochrony danych. W tej kwestii przepisy wprowadzają między innymi anonimizację (drugim pojęciem jest pseudonimizacja). Proces ten jest jedną z operacji wykonywanych na danych podlegających ochronie, przewidzianych przez przepisy unijne jednak sama anonimizacja danych nie została zdefiniowana przez prawo. (S. Piątek, 2014, s. 49)
W świetle unijnego prawa motyw 26 preambuły Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 - RODO "zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. " (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, 2016, s. 5) Tak więc w momencie anonimizacji danych, nowo utworzone kategorie danych przestają być obejmowane ochroną danych osobowych. Jednak należy pamiętać, że to czy kategorie kwalifikują się jako "dane zanonimizowane" należy analizować i rozstrzygać oddzielnie dla wszelakich przypadków dodatkowo zależnie od poziomu ryzyka. (S. Piątek, 2014, s. 49)
Natomiast w świetle prawa polskiego, konkretnie w kwestii statystyki publicznej, przepisy również przewidują proces anonimizacji, a nawet zobowiązuje służby statystyki publicznej do stosowania takiego przetwarzania danych po opracowaniu. Zebrane dane dotyczące osób fizycznych po opracowaniu muszą być przechowywane wyłącznie jako zanonimizowane, proces ten musi nastąpić do 10 lat od momentu zebrania tych danych, wtedy kiedy są one przechowywane. Wyjątek stanowią dane osobowe przechowywane w formie operatorów do badań statystycznych. (Ustawa o statystyce publicznej, 1995, s. 22-23)
Procesowi anonimizacji mogą zostać poddane jedynie dane legalnie przetwarzane przez przedsiębiorcę oraz takie, które zostały pozyskane zgodnie z prawem. W świetle prawa ochrony danych osobowych anonimizacja zawiera się w pojęciu przetwarzania, ale operacja na już zanonimizowanych danych nie stanowi przetwarzania. (S. Piątek, 2014, s. 51, 57)
Anonimizacja a pseudonimizacja
W przeciwieństwie do animizacji, w przepisach unijnych znajdujemy definicję pojęcia pseudonimizacji. RODO definiuje proces jako "przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej." (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, 2016, s. 33) Przykładem może być posługiwanie się numerem identyfikacyjnym zamiast pełnym imieniem i nazwiskiem.
Fundamentalną cechą odróżniającą pseudonimizację od anonimizacji jest odwracalność. Anonimizacja jest procesem nieodwracalnym, pseudonimizacja zaś jest odwracalna. Istotnym jest to, że dane spseudonimizowane podlegają regulacjom dotyczącym ochrony danych osobowych. W kwestii pseudonimizacji możliwe jest przypisanie danych do konkretnych osób przy użyciu "dodatkowych informacji" (klucza lub kodu szyfrowania), w przeciwieństwie do anonimizacji, gdzie takie "dodatkowe informacje" są niedostępne. (D. Zetoony, 2016, s. 7)
Reguły anonimizacji danych
Anonimizacja polega na wykonaniu jednej z niżej wymienionych czynności:
1. "Zamianie całej frazy na pojedynczy inicjał. Stosujemy ją przy anonimizacji miejscowości i nazw geograficznych oraz występujących samotnie w tekście imion lub nazwisk.
2. Zamiana całej frazy na pojedynczy inicjał, po którym następuje wielokropek. Stosujemy ją w przypadku nazw urządzeń, pojazdów oraz handlowych nazw różnych substancji czy też innych produktów, w sytuacji gdy mają więcej niż 1 wyraz.
3. Zamianie całej frazy na parę inicjałów. Stosujemy ją jedynie w przypadku imion i nazwisk osób fizycznych.
4. Zamianie pojedynczych wyrazów lub dłuższych ich ciągów na wielokropek. Stosujemy ją w pozostałych przypadkach."
(M. Truszkowska, 2013, s. 6)
Przykład:
Lp. | Imię i nazwisko pracownika | Stanowisko | Wynagrodzenie brutto | Wykształcenie |
---|---|---|---|---|
Dane przed anonimizacją | ||||
1. | Jan Kowalski | Naczelnik Biura Obsługi Klienta | 5530zł | wyższe mgr |
2. | Adam Nowak | Naczelnik Działu Księgowego | 5550zł | wyższe mgr |
3. | Alina Janowsk | Naczelnik Działu Zamówień Publicznych | 5500zł | wyższe inż. |
4. | Karol Nowakowski | Specjalista ds. kadrowych | 4500zł | wyższe lic. |
5. | Anna Kowalska | Specjalista ds. finansowych | 4780zł | wyższe mgr |
Dane po anonimizacji | ||||
1. | Naczelnik | 5530zł | wyższe | |
2. | Naczelnik | 5550zł | wyższe | |
3. | Naczelnik | 5500zł | wyższe | |
4. | Specjalista | 4500zł | wyższe | |
5. | Specjalista | 4780zł | wyższe |
(Bartosz Mendyk, 2017, s. 24)
Bibliografia
- Mendyk B. (2017) Ochrona danych osobowych – poradnik dla małych i średnich przedsiębiorców Polska Agencja Rozwoju Przedsiębiorczości, Warszawa
- Ministerstwo Cyfryzacji (2018) RODO informator, Warszawa
- Piątek S., Piątek P. (2014) Anonimizacja danych objętych tajemnicą telekomunikacyjną, "internetowy Kwartalnik Antymonopolowy i Regulacyjny", Wydawnictwo Naukowe Wydziału Zarządzania Uniwersytetu Warszawskiego, Warszawa
- RODO%20-%20wersja%20polska.pdf Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 Dziennik Urzędowy Unii Europejskie
- Truszkowska M. (2013) Zarządzenie Nr 7/2013 Prezesa Sądu Okręgowego w Ostrołęce z dnia 25 marca 2013 r, Portal Orzeczeń, Ostrołęka
- Ustawa o statystyce piblicznej Dz.U. 1995 Nr 88 poz. 439
- Zetoony D. (2016) Ogólne rozporządzenie UE o ochronie danych (RODO) Odpowiedzi na często zadawane pytania tytuł oryginalny "The Eu General Data Protection Regulation (GDPR): Answers to the Most Frequently Asked Questions" ABA Book Publishing, Chicago
Autor: Urszula Wojtas
Treść tego artykułu została oparta na aktach prawnych. Zwróć uwagę, że niektóre akty prawne mogły ulec zmianie od czasu publikacji tego tekstu. |