Artykuł ukazał się w Magazynie ODO
Autor: Arwid Mednis
W polskiej praktyce rzadko mamy do czynienia z anonimizacją danych osobowych. Nie docenia się bowiem potencjału, jaki zanonimizowane dane mogą przynieść dla poszczególnych przedsiębiorców i całej gospodarki.
W tym kontekście być może również organ nadzorczy powinien rozważyć czy w pewnych przypadkach nakaz usunięcia danych nie powinien zostać zastąpiony nakazem ich anonimizacji. Anonimizacja pozwala bowiem na pozostawienie pewnego zakresu danych, który może np. wspomóc przedsiębiorcę w analizach zachowań klientów, służbę zdrowia w leczeniu chorób, itp. Dziś już bowiem nie ulega wątpliwości, że ilość danych poddawanych analizie w procesach decyzyjnych wpływa na jakość podejmowanych decyzji.
Przypomnijmy, że wprawdzie Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej „RODO”) nie zawiera definicji anonimizacji, to jednak zawiera ważną wskazówkę co do rozumienia tego pojęcia jak i skutków anonimizacji.
Motyw 26 RODO nie tyle definiuje to pojęcie, ile wskazuje funkcję anonimizacji. Ma ona zatem prowadzić do sytuacji, w której posiadanych danych nie będzie już można skojarzyć z osobą zidentyfikowaną lub możliwą do zidentyfikowania. W motywie tym wyróżniono „dane anonimowe” oraz „dane osobowe zanonimizowane”. W pierwszym przypadku chodzi o dane, które podmiot lub osoba otrzymały już w formie uniemożliwiającej wskazanie konkretnej osoby, w drugim – o dane, które anonimizuje sam podmiot lub osoba.
Odwołując się do definicji danych osobowych (art. 4 pkt 1 RODO), należy podkreślić, że skutkiem anonimizacji jest brak możliwości wskazania osoby, której dane dotyczą, a zatem anonimizacja w wielu przypadkach nie może być ograniczona jedynie do usunięcia imienia i nazwiska osoby, ponieważ pozostałe dane mogą być tak charakterystyczne, że mogą na tę osobę wskazywać. Warto po raz kolejny przypomnieć, że „identyfikowalność” w rozumieniu RODO to nie tyle ustalenie podstawowych danych jak imię, nazwisko i adres, ile możliwość wskazania konkretnej osoby fizycznej. To ile danych o osobie należy usunąć, aby mówić o skutecznej anonimizacji zależy od okoliczności konkretnego przypadku. Nie może być bowiem mowy o skutecznej anonimizacji w przypadku, gdy administrator usunie określone dane o osobie, ale jednocześnie ma łatwy dostęp do innych danych i informacji, które w połączeniu z danymi przez niego zanonimizowanymi mogą prowadzić do deanonimizacji, w wyniku której dane ponownie staną się danymi osobowymi.
Zgodnie ze wspomnianym motywem 26 RODO, przepisy o ochronie danych osobowych nie stosują się do danych anonimowych/zanonimizowanych.
Skuteczna anonimizacja jest więc sposobem na „ucieczkę” spod reżimu RODO. W tym znaczeniu możemy bowiem mówić o danych „o osobie”, które nie są danymi osobowymi, ponieważ nie można wskazać osoby, której dotyczą.
Anonimizacja jest procesem, a nie jednorazową czynnością, stąd też procesy ochrony danych powinny obejmować również dane anonimowe lub zanonimizowane pod kątem ryzyka deanonimizacji.
Nie należy również mylić anonimizacji z pseudonimizacją. Ta ostatnia jest środkiem zabezpieczenia danych, nie pozwala natomiast na uniknięcie stosowania RODO. Pseudonimizacja, w przeciwieństwie do anonimizacji jest w RODO zdefiniowana (art. 4 pkt 5) i oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji. RODO stawia tu warunek, że takie dodatkowe informacje mają być przechowywane osobno i objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Dla administratora są to nadal dane osobowe ponieważ jest on w każdej chwili w stanie ponownie zestawić informacje w taki sposób, że cały zestaw danych będzie mógł być skojarzony z konkretnymi osobami.
Z anonimizacją możemy mieć do czynienia w różnych sytuacjach, niejednokrotnie jest ona niejako narzucana przez przepisy prawa. Dotyczy to np. dostępu do informacji publicznej, w przypadku którego podmiot zobowiązany, udostępniając informację publiczną powinien chronić m. in. prywatność osób fizycznych, których dane mogą znaleźć się w treści informacji.
W tym kontekście na temat anonimizacji wypowiedział się WSA w Gliwicach w wyroku z 12 marca 2013 r.[1]. Zdaniem sądu anonimizacja to „proces przetwarzania treści w taki sposób, aby uniemożliwić identyfikację osób fizycznych opisanych w udostępnianym dokumencie zawierającym informację publiczną. Anonimizacja stanowi zatem rodzaj kompromisu pomiędzy prawem do informacji publicznej, a prawem do ochrony danych osobowych”. Sąd nie wypowiadał się na temat konkretnej techniki anonimizacji choć wiadomo z praktyki, że jeśli chodzi o udostępnienie dokumentu w formie papierowej to najczęściej mamy do czynienia z zamazywaniem określonych treści flamastrem, co nie zawsze stanowi skuteczny środek anonimizacji. W niektórych przypadkach kseruje się udostępniany dokument z zaklejonymi odpowiednimi fragmentami. Tak wykonana kopia daje większe gwarancje faktycznej anonimizacji. Jeśli chodzi o dokumenty przechowywane i udostępniane w formie elektronicznej (format PDF) to często nieumiejętne posługiwanie się funkcjami służącymi zakrywaniu fragmentów tekstu prowadzi do tego, że odbiorca dokumentu może z łatwością je odsłonić.
Kwestia anonimizacji danych przechowywanych w zinformatyzowanych zbiorach jest zagadnieniem bardziej skomplikowanym.
W sprawie technik anonimizacji w 2014 r. wypowiedziała się Grupa Robocza art. 29 (poprzedniczka Europejskiej Rady Ochrony Danych)[2]. Ustalenia odnośnie technik anonimizacji przyjęte w tym dokumencie zostały w znacznym stopniu powtórzone w opublikowanym w 2018 r. przez Ministerstwo Cyfryzacji dokumencie „Otwarte dane – standardy bezpieczeństwa”.
W obu wskazuje się na dwa generalne podejścia do anonimizacji: randomizację i uogólnienie.
Randomizacja to rodzina technik, które zmieniają dane w celu wyeliminowania silnego związku między danymi a konkretną osobą. W konsekwencji, dane charakteryzują się wystarczającą niepewnością i nie można ich już odnieść do konkretnej osoby. Podkreśla się, że randomizacja jednak sama w sobie nie zmienia charakteru poszczególnych rekordów (zapisów), ponieważ każdy z nich będzie pochodził od pojedynczego podmiotu danych, natomiast może chronić przed zagrożeniami wynikającymi z wnioskowania odnośnie do konkretnej osoby. Do tej rodziny technik anonimizacyjnych należą: dodawanie zakłóceń, permutacja (tj. przetasowanie wartości atrybutów tak, aby wartości dla jednego podmiotu danych były sztucznie przypisane do innego. Dane w zbiorze pozostają niezmienione, zmieniona jest natomiast korelacja między wartościami a poszczególnymi podmiotami) oraz prywatność różnicowa (do zastosowania w przypadku udostępniania konkretnego zakresu danych na podstawie zapytania odbiorcy. W tym celu generuje się dla odbiorcy podzbiór danych z wprowadzonymi zakłóceniami).
Drugą rodzinę technik anonimizacji stanowi uogólnianie (generalizacja). Polega ona na uogólnianiu lub osłabieniu atrybutów dla osób, których dane dotyczą, poprzez modyfikację skali lub rzędu wielkości (np.: podanie miast zamiast dzielnic, tygodnia zamiast dnia). Do tej rodziny należą takie techniki jak: agregacja i k-anonimizacja, l-dywersyfikacja i t-bliskość. Techniki z obu rodzin szczegółowo opisano w powyższych dokumentach wraz z przykładami zastosowań.
Warto jednak podkreślić, że zastosowanie określonych technik powinno zostać poprzedzone analizą ryzyka. Anonimizacja może bowiem okazać się jedynym środkiem mitygacji niektórych zagrożeń dla praw i wolności osób fizycznych. Narzędziem może tu być ocena skutków przetwarzania, o której mowa w art. 35 RODO.
Paradoksalnie, pomimo, że RODO dotyczy wyłącznie danych osobowych, w mojej ocenie należy również monitorować ryzyko deanonimizacji (reidentyfikacji) danych anonimowych lub zanonimizowanych.
Szczegółowe sugestie w tym zakresie zawarł brytyjski Information Commissioner’s Office w opublikowanym w październiku 2021 r. projekcie przewodnika dotyczącego m. in anonimizacji, a w szczególności w jego drugiej części dotyczącej skuteczności anonimizacji[3]. Przewodnik skupia się nie tyle na technikach anonimizacji ile na wyjaśnieniu celu anonimizacji oraz definicji podstawowych pojęć, od których skuteczność ta zależy, w szczególności od pojęcia identyfikowalności osoby.
Przetwarzając dane anonimowe należy zatem stale monitorować ryzyko powiązania tych danych z konkretnymi osobami.
[1] IV SAB/Gl 115/12
[2] Opinia WP 216 w sprawie technik anonimizacji przyjęta dnia 10 kwietnia 2014 r.
[3] https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/ico-call-for-views-anonymisation-pseudonymisation-and-privacy-enhancing-technologies-guidance/
- Szukasz szkoleń prawniczych? Sprawdź nasz kalendarz wydarzeń >>>
- Abonament szkoleniowy. Sprawdź ile zaoszczędzisz >>>
