Pseudonimizacja danych osobowych – czym jest i jakie są jej metody?

Podmioty zarządzające danymi muszą zgodnie z przepisami RODO wdrożyć odpowiednie rozwiązania, aby zabezpieczyć te dane. Jednym ze sposobów na to jest pseudonimizacja. Na czym to polega? Jakie są techniki i metody takich działań?

Pseudonimizacja danych – czym to właściwie jest?

Pseudonimizacja może się wydawać pojęciem skomplikowanym, tymczasem oznacza ono takie przetworzenie danych osobowych, aby nie było możliwe zidentyfikowanie osoby, bez posiadania dodatkowych informacji, które są przechowywane w innej bazie. Załóżmy, że wśród takich danych są imiona i nazwiska osób. Jeśli zastąpimy je np. liczbą, to wtedy osoba, która uzyska do nich dostęp i tak będzie potrzebowała do ich odszyfrowania klucza, który znajduje się w innym miejscu.

Z pseudonimizacji korzysta się m.in. w szkołach – wtedy zamiast imienia i nazwiska ucznia podawany jest jego numer identyfikacyjny, a obok – np. uzyskana ocena.

Pseudonimizacji nie należy utożsamiać z anonimizacją, gdyż są to odmienne działania. Anonimizacja prowadzi do tego, że danych nie da się odszyfrować, tzn. nie ma klucza, dzięki któremu będziemy w stanie zidentyfikować konkretne osoby. Zatem w takim przypadku mamy do czynienia z procesem nieodwracalnym. Po anonimizacji dane nie podlegają przepisom RODO, gdyż nie jest możliwa wspomniana identyfikacja. 

Sprawdź ofertę: Ochrona przed wyciekiem danych

Metody i techniki pseudonimizacji

Istnieją różne metody i techniki pseudonimizacji, zatem z których z nich należy korzystać? Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, czyli europejski organ doradczy powołany na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r., wymieniła rekomendowane sposoby, które stosowane są najczęściej. Informacje na ten temat pojawiły się w opinii 05/2014 w sprawie technik pseudonimizacji. W opinii tej omówiono niezawodność każdej metody, a wzięto pod uwagę kilka kryteriów:

  • Czy nadal możliwe jest wyodrębnienie osoby fizycznej?
  • Czy nadal możliwe jest powiązanie zasobów dotyczących danej osoby fizycznej?
  • Czy można wywnioskować informacje w odniesieniu do konkretnej osoby fizycznej?

Wśród proponowanych metod pseudonimizacji pojawiły się następujące propozycje:

  • Szyfrowanie z kluczem tajnym – w tym przypadku odszyfrowanie jest możliwe przez osobę, która posiada klucz. Dane znajdują się w zbiorze, a założenie jest takie, że musi być wykorzystana taka metoda szyfrowania, która uniemożliwia identyfikację tych danych bez dostępu do klucza.
  • Funkcja skrótu – inaczej nazywana funkcją mieszającą lub hashującą. Polega ona na przyporządkowaniu dowolnej liczbie znaków krótkiej wartości o stałym rozmiarze.
  • Funkcja skrótu z kluczem, w przypadku której klucz jest przechowywany – bez znajomości dodatkowego klucza odszyfrowanie danych jest bardzo trudne – liczba możliwych kombinacji jest zbyt duża.
  • Szyfrowanie deterministyczne lub funkcja skrótu z kluczem, w przypadku której klucz jest usuwany – dla każdego atrybutu w bazie danych wybierany jest losowy numer jako pseudonim, a następnie usuwana jest tabela korelacji.
  • Tokenizacja – ta metoda ma zastosowanie m.in. w branży finansowej. W tym przypadku numery identyfikacyjne są zastępowane przez losowe liczby. To powoduje, że takie dane są bezwartościowe dla osoby, która próbowałaby je odszyfrować.

Sprawdź ofertę: Szyfrowanie danych

Wdrożenie odpowiednich metod jest niezbędne, aby nasze działania były zgodne z RODO i aby ktoś nieuprawniony nie był w stanie zidentyfikować danej osoby. Ryzyko takiej identyfikacji jest szczególnie duże w przypadku zbyt szczegółowych danych statystycznych i małej próby – wtedy istnieje możliwość, że członkowie konkretnej wspólnoty będą w stanie odkodować informacje.

Kto powinien zainteresować się tematem pseudonimizacji? 

Pojęcie pseudonimizacji pojawiło się w rozporządzeniu unijnym dotyczącym ochrony danych osobowych i powinien zainteresować się nim każdy, kto przetwarza dane osobowe. Nie ma znaczenia, czy prowadzimy działalność jednoosobową czy spółkę. Nie liczy się to, jakiej narodowości są osoby, których dotyczą te dane ani też gdzie znajdują się firmowe serwery. Jeśli przedsiębiorstwo przetwarza dane osobowe na terenie Unii Europejskiej, to powinno zainteresować się pseudonimizacją.

RODO nie nakłada na firmy obowiązku zastosowania konkretnych technik. W zależności od tego, o jakie przedsiębiorstwo i dane chodzi, zasadna może być inna metoda. Najważniejsze, aby firma zapewniła bezpieczeństwo tych danych. Warto pamiętać o zachowaniu najwyższego poziomu ostrożności – istnieje ryzyko popełniania wielu błędów. Przykładem nieodpowiedniego działania jest niewłaściwe zabezpieczenie klucza albo trzymanie go wraz z danymi.

Należy liczyć się z tym, że za naruszenie RODO firma może ponieść konsekwencje finansowe. Jak wynika z danych PrivacyAffairs, do połowy 2020 roku nałożono 175 944 866 euro kar na podmioty z Unii Europejskiej, z czego ponad 50 mln euro dotyczy Francji. Kwestie bezpieczeństwa danych powinny mieć w przedsiębiorstwach szczególne znaczenie – wykradzione informacje mogą być wykorzystywane do popełniania przestępstw.

Nasza firma od lat współpracuje z przeróżnymi markami przy szyfrowaniu danych. Klientom proponujemy usługę opartą na metodzie Endpoint Encryption, która jest w pełni zgodna z wymaganiami RODO. Wykorzystujemy wyłącznie cenione na rynku rozwiązania.