Czy można zapobiec naruszeniu danych osobowych, gdy w firmie informacje zapisywane są na laptopach i innych dyskach przenośnych? Ustawa RODO wyraźnie informuje, że administratorzy danych mają zrobić wszystko, by dane osobowe nie były wykorzystywane w nieuprawniony sposób. Jednym z zabiegów mających na celu taką ochronę jest pseudonimizacja danych osobowych, czyli rodzaj szyfrowania, który ma ochronić dane przed ich naruszeniem.

Pseudonimizacja danych osobowych – co na to RODO?

Ustawa o ochronie danych osobowych RODO informuje, że ochronie powinny podlegać wszystkie dane, które umożliwiają zidentyfikowanie osoby fizycznej np. często samo imię i nazwisko, które jest popularne, jak „Jan Nowak” nie pozwala na identyfikację danej osoby. Jednak jeśli do tych informacji dodamy adres lub telefon albo inne dane na temat tej osoby, to najczęściej możemy ją już zidentyfikować. By zapobiec tak łatwej identyfikacji, ustawa RODO proponuje wśród metod zabezpieczania danych, szyfrowanie ich metodą pseudonimizacji.

Zgodnie z art. 4 pkt 5 RODO: "pseudonimizacja danych osobowych „oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”.

Metody pseudonimizacji danych osobowych

Grupa Robocza, czyli niezależny, europejski organ doradczy w sprawie ochrony danych osobowych wymienia m.in. takie metody pseudonimizacji jak:

  • Skracanie – skrócenie ciągu wybranych wartości w taki sposób, by odczytanie ich prawdziwego znaczenia nie było możliwe.
  • Szyfrowanie kluczem tajnym – do odczytu zaszyfrowanych danych osobowych potrzebny jest klucz.
  • Tokenizacja – jednokierunkowe szyfrowanie danych osobowych polegające na zastąpieniu fragmentów danych ciągiem losowych cyfr. Jeśli dostaną się one w niepowołane ręce, to i tak w ten sposób zaszyfrowane dane są bezużyteczne dla osoby, która nie potrafi ich rozszyfrować.

Zbiór dobrych praktyk oraz opinia Grupy Roboczej informuje, że pseudonimizacja danych osobowych nie zapewnia w pełni anonimowości zbioru danych. Jest to jedynie „użyteczny środek bezpieczeństwa”. Warto wiedzieć, że pseudonimizacja to proces odwracalny, a więc w celu zapewnienia bezpieczeństwa na najwyższym poziomie warto pilnować, by za pomocą jednego klucza nie można było otworzyć kilku zbiorów danych oraz, by przechowywać klucze szyfrowania w odpowiedni sposób.

Wdrożenie środków zabezpieczenia przetwarzanych danych osobowych powinno odbyć się na podstawie analizy ryzyka, którą przeprowadza administrator danych. Analiza ta ma na celu sprawdzenie, czy zastosowane aktualnie środki są wystarczające i czy są słabe punkty, które mogą prowadzić do incydentu naruszenia danych osobowych. Dobre szyfrowanie skutecznie zapobiega używaniu danych niezgodnie z przepisami, bo jeśli nawet dojdzie do kradzieży laptopa lub dysku przenośnego z danymi, które są zaszyfrowane, to złodziej nie będzie umiał zrobić z nich użytku. Pseudonimizacja danych osobowych i inne metody szyfrowania są zatem bardzo wskazane w przypadku firm, które przenoszą dane na dyskach, np. mają je na laptopach w trakcie delegacji służbowej.