Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek. Ale jak prawidłowo powinna wyglądać anonimizacja dokumentów?
Z tego artykułu dowiesz się:
- co to jest anonimizacja danych osobowych;
- z czego wynika obowiązek jej przeprowadzania;
- jak prawidłowo należy zrealizować proces anonimizacji.
Anonimizacja to proces składający się na system zarządzania informacją, w tym zarządzania danymi osobowymi. Dotyczy zarówno tzw. danych zwykłych, jak i danych wrażliwych (danych szczególnych kategorii) określonych w ogólnym rozporządzeniu o ochronie danych osobowych (RODO). Mimo że pojęcie to jest z RODO nierozerwalnie związane, nie definiuje go ani ustawa o ochronie danych osobowych, ani RODO. O anonimizacji danych wspomina się jedynie w motywie 26 preambuły RODO.
Po zastosowaniu wobec danych dowolnej metody anonimizacji, przepisy RODO nie mają zastosowania. Anonimizacja jest bowiem procesem nieodwracalnym, niedającym możliwości ponownej identyfikacji osób, do których dane należą, co z kolei wyklucza fakt przetwarzania danych osobowych.
„Pseudonimizacja” wg art.4 RODO oznacza
„przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”.
Podstawową cechą różnicującą pseudonimizację i anonimizację jest odwracalność. Anonimizacja jest procesem nieodwracalnym i jej zastosowanie nie pozwala na ponowną identyfikację osoby, pseudonimizacja zaś jest odwracalna. Dane spseudonimizowane zatem, w dalszym ciągu podlegają regulacjom dotyczącym danych osobowych (nadal możliwe jest bowiem, po zastosowaniu określonych środków, identyfikacja właściciela danych).
Anonimizacja to proces, w którym powstają informacje, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. W jej wyniku dochodzi do przekształcenia danych osobowych w sposób uniemożliwiający przyporządkowanie poszczególnych informacji do określonej lub możliwej do zidentyfikowania osoby fizycznej.
Anonimizacja może być zastosowana na dokumentach np. poprzez zamazanie wybranych danych (np. imienia i nazwiska). Po jej dokonaniu administrator ani żadna osoba trzecia nie powinni mieć możliwości identyfikacji podmiotu danych.
Anonimizacja dokumentów to proces usuwania lub zastępowania identyfikujących informacji z dokumentów w celu zachowania prywatności i nadzoru nad danymi osobowymi.
Więcej na temat różnic między anonimizacją a pseudonimizacją przeczytasz tutaj
Istnieje kilka podstawowych technik anonimizacji dokumentów, takich jak:
1) Usunięcie danych osobowych: Prosta metoda polegająca na usunięciu wszystkich informacji identyfikujących, takich jak imiona, nazwiska, numery telefonów itp. Jednak ta metoda może być ryzykowna, gdyż często istnieją inne dane, które mogą pośrednio prowadzić do zidentyfikowania osoby.
2) Zastępowanie danych: W tej metodzie dane identyfikujące są zastępowane ogólnymi lub sztucznymi danymi. Na przykład, imię i nazwisko mogą zostać zamienione na pseudonim, a adres zamieszkania na fikcyjny.
3) Zmiana struktury danych: Może obejmować zmiany w strukturze dokumentu, takie jak zamiana kolejności pól, aby uniemożliwić identyfikację.
4) Mieszanie i przekształcanie danych: Dane muszą być przekształcone w taki sposób, aby były niemożliwe do odczytania lub przywrócenia do pierwotnej postaci. To może obejmować zastosowanie różnych algorytmów kryptograficznych lub technik mieszania danych.
5) Utrudnianie identyfikacji kontekstu: Czasami informacje identyfikujące są usuwane, a jednocześnie zmienia się kontekst w taki sposób, żeby niemożliwe było zidentyfikowanie konkretnych osób.
Obowiązek przeprowadzania anonimizacji danych osobowych wynika z różnych przepisów prawa ochrony danych osobowych, zależnych od jurysdykcji. Jednym z nich jest właśnie RODO.
W kontekście RODO obowiązek anonimizacji można odnaleźć w kilku jego artykułach, takich jak:
1) Artykuł 5 – Zasada zgodności z przepisami: Zobowiązuje do przetwarzania danych zgodnie z przepisami prawa, co obejmuje również przestrzeganie zasad anonimizacji.
2) Artykuł 25 – Ochrona danych od samego projektowania i domyślna ochrona danych: Nakłada obowiązek na administratorów danych do wdrażania odpowiednich środków technicznych i organizacyjnych, w tym anonimizacji, już na etapie projektowania systemów przetwarzania danych.
Ponadto, wiele krajów wprowadziło swoje własne przepisy, które również mogą zawierać zapisy dotyczące anonimizacji. Warto zaznaczyć, że w niektórych przypadkach, szczególnie jeśli dane są przetwarzane w celach naukowych, statystycznych lub historycznych, przepisy prawne mogą dopuszczać pewne wyjątki od obowiązku anonimizacji, pod warunkiem zachowania odpowiednich środków bezpieczeństwa.
Poniżej znajdziesz kilka ogólnych kroków, które można podjąć podczas procesu anonimizacji danych zgodnie z RODO:
1) Zidentyfikuj dane osobowe: Dokładnie zidentyfikuj wszystkie dane osobowe, które przetwarzasz. Mogą to być imiona, nazwiska, numery identyfikacyjne, adresy, dane kontaktowe i inne (pamietaj o uwzględnieniu zdjęć osoby fizycznej), przy użyciu których możliwe jest zidentyfikowanie podmiotu danych,
2) Usuń lub zastąp dane identyfikujące osobę: Usuń takie informacje jak: imiona, nazwiska, numery PESEL, numery telefonów, adresy email, adresy zamieszkania. Jeśli to konieczne, zastąp je ogólnymi lub sztucznymi danymi (pamiętaj, zastąpienie imienia i nazwiska inicjałami nie będzie anonimizacją danych. Administratorzy danych często zakładają, że ze względu na usunięcie lub zastąpienie jednego atrybutu, lub ich większej liczby zanonimizowali dane. Wiele przykładów pokazało, że tak nie jest; zwykła zmiana identyfikatora danych osobowych nie uniemożliwia zidentyfikowania osoby, jeżeli w zbiorze danych pozostają quasi-identyfikatory lub jeżeli wartości innych atrybutów nadal umożliwiają zidentyfikowanie danej osoby fizycznej. W wielu przypadkach zidentyfikowanie konkretnej osoby fizycznej w zbiorze danych opatrzonych pseudonimem jest tak proste, jak w przypadku danych pierwotnych. Należy podjąć dodatkowe działania w celu uznania zbioru danych za zanonimizowany, w tym usunąć i uogólnić atrybuty lub wykasować dane pierwotne, lub przynajmniej sprawić, by były one w dużym stopniu zagregowane.)
3) Uwzględnij dane wrażliwe: Jeśli dokumenty zawierają dane wrażliwe, takie jak informacje o zdrowiu, przekonaniach religijnych czy przekonaniach politycznych, również odpowiednio je zanonimizuj.
4) Przemyśl kontekst: Upewnij się, że po anonimizacji zachowasz sens i kontekst danych. Nie chodzi jedynie o usuwanie informacji, ale także o to, aby dane zachowały swoją wartość i sens w ramach dokumentów.
5) Zachowaj spójność danych: Jeśli zachowanie spójności danych jest ważne, upewnij się, że anonimizacja nie zaburzy tej spójności. W niektórych przypadkach może to oznaczać konieczność stosowania unikalnych identyfikatorów dla różnych rekordów.
6) Zastosuj odpowiednie techniki anonimizacji: Wybierz odpowiednie techniki anonimizacji w zależności od rodzaju danych. To może obejmować usuwanie, zastępowanie, przekształcanie czy mieszanie danych (niekiedy może wystarczyć użycie korektora czy markera w celu ukrycia określonych danych). Pomocna w tym zakresie może być Opinia 05/2014 w sprawie technik anonimizacji Grupy roboczej art. 29.
7) Zabezpiecz dokumenty: Zapewnij, że po anonimizacji dokumenty są bezpieczne.
8) Dokumentuj proces anonimizacji: Zachowana dokumentacja z przebiegu anonimizacji pozwoli udowodnić, że podjęto odpowiednie środki w razie ewentualnych kontroli lub pytań.
Na rynku dostępne są różne narzędzia umożliwiające przeprowadzenie skutecznego procesu anonimizacji.
Czy umowa bez numeru dowodu jest ważna?
Dostawcy rozwiązań zapewniają np., że:
– wyłączanie jawności treści realizowane jest na kopii dokumentu anonimizowanego (nie ma zatem fizycznej możliwości ingerencji w dokument oryginalny)
– każda czynność związana z anonimizacją jest w pełni rozliczalna – posiada przypisane do niej dane pozwalające na ustalenie kto, kiedy i w jakim kontekście daną czynność wykonał, etc.
– w dokumencie po anonimizacji, treści zanonimizowane / wyłączone z jawności dostępu są fizycznie usuwane, a nie jedynie „zasłaniane” / zastępowane innym tekstem – w efekcie nie ma fizycznej możliwości ich odczytania (dokument po anonimizacji zawiera jedynie treść po anonimizacji – jest on generowany z kopii / dokumentu roboczego, który zawiera wszystkie informacje, ale znajduje się w posiadaniu instytucji i nie podlega udostępnieniu.
Pamiętaj, że proces powinien być dostosowany do konkretnych warunków i kontekstu, a wybór narzędzia zależy od wyników wcześniej przeprowadzonej analizy ryzyka.
I tu pojawia się pytanie, jak sobie poradzić z tym trudnym tematem. Narzędziem pomocnym w procesie anonimizacji może być wprowadzenie w organizacji instrukcji/zasad opisujących przebieg procesu. Instrukcja taka może jednoznacznie wskazywać konkretną osobę odpowiedzialną za proces (może to być np. specjalista ds ochrony danych osobowych), rolę poszczególnych pracowników, nazwę systemu stosowanego dla procesu, zasady anonimizacji umów, kserokopii, skanów dokumentów i inne.
Należy mieć również na uwadze, że anonimizacji nie podlegają: dane osobowe w sposób oczywisty upublicznione przez osobę, której dane osobowe dotyczą; dane osobowe stanowiące informację publiczną, która wymaga udostępnienia w trybie dostępu do informacji publicznej na podstawie ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2020 r., poz. 2176), zgodnie z którą nie ma zastosowania ograniczenie ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorstw.
Sprawdź także:
Dane osobowe: Kompletny przewodnik po RODO na 2026 rok
Dane osobowe wrażliwe, a dane osobowe zwykłe. Na czym polega różnica?
Czy imię i nazwisko to dane osobowe?
Zasada minimalizacji danych
NIS2 – sprawdź nowe wymagania dla firm
Udostępnianie danych osobowych bez zgody
