Jednym z istotniejszych aspektów, na które mocno zwraca się uwagę w kontekście przepisów zawartych w RODO jest zasada Privacy by Design and Default. W jej myśl wszelkie działania podejmowane przez organizację, które wiążą się z przetwarzaniem danych osobowych, muszą być na każdym kroku podejmowane z uwzględnieniem ochrony danych osobowych i zapewnienia ich prywatności. Wymaganie to obejmuje projekty prowadzone wewnątrz organizacji, rozwój jej produktów czy wykorzystywanego oprogramowania, istniejące i wdrażane systemy IT itd.
Drugim poruszanym w RODO tematem dot. ograniczenia przetwarzania danych osobowych jest pojęcie „minimalizacji danych”. Art. 5 ust. 1 lit. c) RODO wskazuje, iż „Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”. W połączeniu ze wspomnianą już wcześniej zasadą Privacy by Design and Default oznacza to, że wszystkie produkty i usługi powinny być domyślnie projektowane tak, aby przetwarzać jak najmniej danych osobowych. Według szwedzkiego organu ochrony danych można to zrobić w następujący sposób:
- Ograniczając przetwarzanie danych do informacji, które tylko pośrednio identyfikują daną osobę;
- Ograniczając zbieranie danych do danych, które są mniej wrażliwe;
- Zastępując imiona czy nazwiska, np. pseudonimami;
- Nie wykorzystując osobistych danych identyfikacyjnych jako pól w bazach danych;
Idąc o krok dalej w tej analizie pojawiają się dwa terminy, które są często używane podczas omawiania obszaru prywatności w fazie projektowania i minimalizacji danych. Mowa o anonimizacji i pseudonimizacjidanych osobowych.
Zgodnie z treścią motywu 26 RODO dane zanonimizowane są poza zakresem obowiązywania RODO, nie mieszczą się w definicji „danych osobowych”. Zgodnie z logiką określoną w tej definicji anonimizacja danych odnosi się do procesu usuwania bezpośrednich i pośrednich danych, które pozwalają na identyfikację konkretnej osoby fizycznej – przykładowo może to być adres, numer PESEL, numer telefonu, wizerunek, data urodzenia itp.
Oczywiście nie wszystkie rodzaje danych powinny podlegać anonimizacji. Ważne jest, aby administrator danej bazy danych zdecydowanie wskazał zbiory danych, aby które powinny być anonimowe oraz te, które powinny postaci w swojej pierwotnej postaci, ponieważ są niezbędne dla prawidłowej realizacji procesu ich przetwarzania.
Istnieje kilka różnych technik przeprowadzenia procesu anonimizacji danych osobowych, które wykorzystują różne rozwiązania techniczne i formy danych. Różnią się one sposobem postępowania i efektem końcowym, jaki otrzymujemy.
- UOGÓLNIENIE DANYCH (GENERALIZACJA)
Ta metoda uosabia podstawową zasadę anonimizacji danych. W tej metodzie niektóre zestawy danych są usuwane, aby dane były mniej rozpoznawalne. Możesz ostrożnie modyfikować bazę danych o określony zakres, usuwając niektóre jej elementy.
- WYMIANA DANYCH
Jest to proces tasowania zbiorów danych w celu ich ponownego przyporządkowania (np. losowe zestawy imion, nazwisk, adresów). W ten sposób nie ma podobieństwa pomiędzy oryginalną bazą danych a wynikami anonimizacji.
- MASKOWANIE DANYCH
Oznacza po prostu ukrycie danych, nadanie zbiorom danych innej, pozornej tożsamości. W procesie maskowania danych można utworzyć duplikat (wersję lustrzaną) zestawu danych. Celem jest ukrycie oryginalnych zestawów danych wśród zbioru danych nieautentycznych. Różne wersje tych samych zestawów danych są tworzone losowo i mieszane z oryginalną bazą.
- DANE SYNTETYCZNE
Syntetyczne zestawy danych to zestawy danych utworzone przez algorytm bez żadnego związku z danymi rzeczywistymi. Za pomocą modeli statystycznych te zestawy danych są syntetycznymi zbiorami stworzonymi na podstawie oryginalnych zestawów danych.
- PERTURBACJA DANYCH
Ta metoda anonimizacji zbiorów danych ma zastosowanie do wprowadzania danych liczbowych. Polega na zaokrąglaniu danych o określoną wartość, np. poprzez dodanie 8 do wszystkich wartości liczbowych w swojej bazie danych.
O czym należy pamiętać to fakt, iż nawet jeśli dane zostaną zanonimizowane, istnieją techniki pozwalające na odwrócenie tego procesu (czyli tzw. deanonimizacji). Ponieważ dane zazwyczaj przechodzą przez kilka źródeł, z których niektóre są ogólnodostępne, metody deanonimizacji mogą odwoływać się do źródeł pochodzenia danych i je ujawniać.
RODO wyraźnie zaleca pseudonimizację danych osobowych jako jeden z kilku sposobów ograniczenia zagrożeń z punktu widzenia osoby, której dane dotyczą, jako sposób na zwiększenie prywatności przez administratorów danych i, między innymi, ułatwienie administratorom przetwarzać dane osobowe poza pierwotnymi celami gromadzenia danych osobowych lub przetwarzać dane osobowe w celach naukowych i innych.
Wspomniana wcześniej anonimizacja polega na usunięciu wszelkich danych umożliwiających identyfikację danej osoby, natomiast pseudonimizacja ma na celu przetworzenie danych, aby uniemożliwić ich powiązanie z daną osobą. W przypadku danych pseudonimizowanych, w zależności od zastosowanej techniki, można odwrócić oddzielenie niektórych pól/identyfikatorów od rekordu danych osobowych. Nie należy mylić pseudonimizacji z szyfrowaniem – techniką ochrony danych, która jest również zalecana przez RODO, jednak jest czymś zupełnie innym. Istnieje również różnica między pseudonimizacją a anonimizacją. Cytując opinię Grupy Roboczej Art. 29 w sprawie technik anonimizacji: „Dane pseudonimizowane nie mogą być utożsamiane z informacjami zanonimizowanymi, ponieważ nadal umożliwiają wyodrębnienie poszczególnych osób, których dane dotyczą, i powiązanie ich w ramach różnych zbiorów danych”.
Pseudonimizacja jest zalecana, jednak należy pamiętać, iż pseudonimizowane informacje nadal podlegają przepisom RODO – pseudonimizacja ma na celu jedynie zmniejszenie ryzyka naruszenia praw lub wolności osób, których dane dotyczą, a nie całkowite obejście przepisów prawa.
Autor: Tomasz Cieślik