Majowy „edukacyjny” newsletter również jest poświęcony pojęciu, które zostało przez prawodawcę unijnego zdefiniowane w art. 4 RODO. Tym razem przybliżona zostanie definicja „pseudonimizacji”.
Pojawienie się tego pojęcia w RODO (tak jak omawianego wcześniej „profilowania”) było nowością, ponieważ nie miało swojego odpowiednika w przepisach dyrektywy 95/46/WE ani też w Ustawie o ochronie danych osobowych z 1997 r.
DEFINICJA „PSEUDONIMIZACJI”
Zgodnie z art. 4 pkt. 5 RODO „pseudonimizacja” oznacza „przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”.
Pseudonimizacja jest więc zabiegiem polegającym na zastąpieniu danych osobowych pozwalających na bezpośrednią identyfikację osoby pewnym pseudonimem. Jednak spseudonimizowane informacje wciąż należy traktować jako dane osobowe, ponieważ jest to czynność odwracalna. Podkreśla to motyw (26) preambuły RODO:
„(…) Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej (…)”.
KIEDY DOCHODZI DO „PSEUDONIMIZACJI”
Aby uznać, że doszło do pseudonimizacji danych osobowych należy spełnić dwie przesłanki. Pierwszą jest brak możliwości przypisania informacji do osoby fizycznej. Przykładowo może mieć to miejsce podczas zastępowania imienia i nazwiska konkretnej osoby np. niepublicznym numerem identyfikacyjnym. Drugą przesłanką jest odwracalny charakter pseudonimizacji. Polega on na tym, że poprzez użycie dodatkowych informacji wciąż jest możliwe zidentyfikowanie konkretnej osoby.
Natomiast te „dodatkowe informacje” identyfikujące powinny być przechowywane osobno oraz być objęte środkami uniemożliwiającymi ich przypisanie danej osobie zanim pseudonimizacja nie zostanie odwrócona. W przypadku przetwarzania danych w systemach informatycznych warto rozważyć m.in. użycie funkcji haszujących do tworzenia identyfikatorów z danych identyfikujących i dołączanie ich do danych spseudonimizowanych. Przetwarzanie danych opatrzonych takimi identyfikatorami nie będzie prowadzić do identyfikacji jednostki, jeśli nie zdobędzie się wszystkich danych identyfikujących osoby z całego zbioru i nie podda się ich haszowaniu właściwą funkcją w celu znalezienia części wspólnej.
RÓŻNICE MIĘDZY „PSEUDONIMIZACJĄ” A „ANONIMIZACJĄ”
Bywa, że pojęcia „pseudonimizacja” i „anonimizacja” są używane zamiennie. Jest to jednak podejście nieprawidłowe, ponieważ procesy te nie są tożsame. „Anonimizacja” nie występuje w przepisach RODO, natomiast uregulowana była w poprzednio obowiązującej Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Jednakże jest mowa o anonimizacji w motywie (26) RODO, zgodnie z którym: „Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych”. Wynika z tego, że zgodnie z RODO informacje zanonimizowane nie są danymi osobowymi, w przeciwieństwie do spseudonimizowanych.
Celem anonimizacji jest trwałe i nieodwracalne usunięcie powiązań między danymi a osobami, których one dotyczą, czyli skasowanie danych identyfikujących osobę. W wyniku tego działania ustalenie tożsamości osoby na podstawie informacji, które pozostaną nie powinno być już w ogóle możliwe. Nieodwracalny charakter anonimizacji jest więc drugą podstawową różnicą między obydwoma pojęciami, ponieważ pseudonimizacja jest odwracalna.