Rozporządzenie Parlamentu Europejskiego i Rady Europy w sprawie ochrony danych osobowych zwane w skrócie RODO wprowadziło bardzo wiele zmian w krajowych przepisach odnośnie przetwarzania takich danych i ich swobodnego przepływu. Pojawiły się też nowe pojęcia. Jednym z nich jest pseudonimiacja.
Co znaczy pojęcie „pseudonimiacja?
Pseudonimiacja danych osobowych to proces, który polega na przetwarzaniu danych osobowych w sposób, który uniemożliwia identyfikację osoby, której dane te dotyczą. Oznacza to, że w procesie przetwarzania danych konieczne jest zastąpienie jednego atrybutu innym. Przykładowo zamiast imienia i nazwiska mogą zostać zastosowane liczby. Pseudonimiacja to proces, który można odwrócić. Oczywiście do odszyfrowania potrzeby jest odpowiednio klucz. Należy pamiętać o tym, aby klucz te był przechowywany w innym miejscu niż dane osobowe. Jeśli zdarzy się sytuacja, podczas której dojdzie do wycieku danych, osoby postronne bez posiadania klucza nie dowiedzą się, kogo dane te dotyczą.
Jakie są metody pseudonimiacji?
Administratorzy, którzy są odpowiedzialni za przetwarzanie danych osobowych mogą przeprowadzić ich pseudonimiację przy pomocy bardzo różnych metod. Niektóre z nich stosowane są jednak najczęściej. Zalicza się do nich:
- skracanie. Metoda ta polega na skróceniu danych. Dokonuje się tego w taki sposób, aby niemożliwa stała się identyfikacja osób, które dane dotyczą;
- tokenizację. Mianem tym określa się szyfrowanie jednokierunkowe. Polega ono na tym, że dane osobowe są zamieniane na ciąg liczbowy. Jest on generowany w sposób losowy. Zastosowanie tokenizacji sprawia, że dla osób postronnych dane stają się zupełnie nieużyteczne. Tokenizacja jest metodą pseudonimacji najczęściej stosowaną w sektorze finansowym;
- szyfrowanie tajnym kluczem. Szyfrowanie danych odbywa się w tym przypadku z zastosowaniem klucza szyfrującego. Klucz ten umożliwia nie tylko utajenie danych, ale także ich odszyfrowanie, gdy zajdzie taka konieczność.
Stosowanie pseudonimiacji niezależnie od metody ma przed sobą tylko jeden cel: zwiększenie poziomu bezpieczeństwa danych osobowych.
Wraz z wejściem w życie przepisów Rozporządzenia Parlamentu Europejskiego i Rady Europy o prawie ochrony danych osobowych, pojawiły się nowe pojęcia. Jednym z tych, które można usłyszeć dość często jest pseudonimiacja. Pojęcie to oznacza proces przetwarzania danych tak, aby przypisanie ich konkretnej osobie, której dane dotyczą było niemożliwe. Utrudnienie identyfikacji konkretnej osoby fizycznej jest jedynym celem pseudonimiacji. Istotne jest to, że proces pseudonimiacji można w pełni odwrócić. Speudonimizowane dane powinny być przechowywane w innym miejscu niż dane, które umożliwiają identyfikację konkretnej osoby.
Monika Zygmunt - Jakuć (Inspektor ochrony danych)