Dobre praktyki anonimizacji danych osobowych

By 27 marca, 2023 Uncategorized

Artykuł ukazał się w Magazynie ODO

Autor: Arwid Mednis


W polskiej praktyce rzadko mamy do czynienia z anonimizacją danych osobowych. Nie docenia się bowiem potencjału, jaki zanonimizowane dane mogą przynieść dla poszczególnych przedsiębiorców i całej gospodarki.

W tym kontekście być może również organ nadzorczy powinien rozważyć czy w pewnych przypadkach nakaz usunięcia danych nie powinien zostać zastąpiony nakazem ich anonimizacji. Anonimizacja pozwala bowiem na pozostawienie pewnego zakresu danych, który może np. wspomóc przedsiębiorcę w analizach zachowań klientów, służbę zdrowia w leczeniu chorób, itp. Dziś już bowiem nie ulega wątpliwości, że ilość danych poddawanych analizie w procesach decyzyjnych wpływa na jakość podejmowanych decyzji.

Przypomnijmy, że wprawdzie Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej „RODO”) nie zawiera definicji anonimizacji, to jednak zawiera ważną wskazówkę co do rozumienia tego pojęcia jak i skutków anonimizacji.

Motyw 26 RODO nie tyle definiuje to pojęcie, ile wskazuje funkcję anonimizacji. Ma ona zatem prowadzić do sytuacji, w której posiadanych danych nie będzie już można skojarzyć z osobą zidentyfikowaną lub możliwą do zidentyfikowania. W motywie tym wyróżniono „dane anonimowe” oraz „dane osobowe zanonimizowane”. W pierwszym przypadku chodzi o dane, które podmiot lub osoba otrzymały już w formie uniemożliwiającej wskazanie konkretnej osoby, w drugim – o dane, które anonimizuje sam podmiot lub osoba.

Odwołując się do definicji danych osobowych (art. 4 pkt 1 RODO), należy podkreślić, że skutkiem anonimizacji jest brak możliwości wskazania osoby, której dane dotyczą, a zatem anonimizacja w wielu przypadkach nie może być ograniczona jedynie do usunięcia imienia i nazwiska osoby, ponieważ pozostałe dane mogą być tak charakterystyczne, że mogą na tę osobę wskazywać. Warto po raz kolejny przypomnieć, że „identyfikowalność” w rozumieniu RODO to nie tyle ustalenie podstawowych danych jak imię, nazwisko i adres, ile możliwość wskazania konkretnej osoby fizycznej. To ile danych o osobie należy usunąć, aby mówić o skutecznej anonimizacji zależy od okoliczności konkretnego przypadku. Nie może być bowiem mowy o skutecznej anonimizacji w przypadku, gdy administrator usunie określone dane o osobie, ale jednocześnie ma łatwy dostęp do innych danych i informacji, które w połączeniu z danymi przez niego zanonimizowanymi mogą prowadzić do deanonimizacji, w wyniku której dane ponownie staną się danymi osobowymi.

Zgodnie ze wspomnianym motywem 26 RODO, przepisy o ochronie danych osobowych nie stosują się do danych anonimowych/zanonimizowanych.

Skuteczna anonimizacja jest więc sposobem na „ucieczkę” spod reżimu RODO. W tym znaczeniu możemy bowiem mówić o danych „o osobie”, które nie są danymi osobowymi, ponieważ nie można wskazać osoby, której dotyczą.

Anonimizacja jest procesem, a nie jednorazową czynnością, stąd też procesy ochrony danych powinny obejmować również dane anonimowe lub zanonimizowane pod kątem ryzyka deanonimizacji.

Nie należy również mylić anonimizacji z pseudonimizacją. Ta ostatnia jest środkiem zabezpieczenia danych, nie pozwala natomiast na uniknięcie stosowania RODO. Pseudonimizacja, w przeciwieństwie do anonimizacji jest w RODO zdefiniowana (art. 4 pkt 5) i oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji. RODO stawia tu warunek, że takie dodatkowe informacje mają być przechowywane osobno i objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Dla administratora są to nadal dane osobowe ponieważ jest on w każdej chwili w stanie ponownie zestawić informacje w taki sposób, że cały zestaw danych będzie mógł być skojarzony z konkretnymi osobami.

Z anonimizacją możemy mieć do czynienia w różnych sytuacjach, niejednokrotnie jest ona niejako narzucana przez przepisy prawa. Dotyczy to np. dostępu do informacji publicznej, w przypadku którego podmiot zobowiązany, udostępniając informację publiczną powinien chronić m. in. prywatność osób fizycznych, których dane mogą znaleźć się w treści informacji.

W tym kontekście na temat anonimizacji wypowiedział się WSA w Gliwicach w wyroku z 12 marca 2013 r.[1]. Zdaniem sądu anonimizacja to „proces przetwarzania treści w taki sposób, aby uniemożliwić identyfikację osób fizycznych opisanych w udostępnianym dokumencie zawierającym informację publiczną. Anonimizacja stanowi zatem rodzaj kompromisu pomiędzy prawem do informacji publicznej, a prawem do ochrony danych osobowych”. Sąd nie wypowiadał się na temat konkretnej techniki anonimizacji choć wiadomo z praktyki, że jeśli chodzi o udostępnienie dokumentu w formie papierowej to najczęściej mamy do czynienia z zamazywaniem określonych treści flamastrem, co nie zawsze stanowi skuteczny środek anonimizacji. W niektórych przypadkach kseruje się udostępniany dokument z zaklejonymi odpowiednimi fragmentami. Tak wykonana kopia daje większe gwarancje faktycznej anonimizacji. Jeśli chodzi o dokumenty przechowywane i udostępniane w formie elektronicznej (format PDF) to często nieumiejętne posługiwanie się funkcjami służącymi zakrywaniu fragmentów tekstu prowadzi do tego, że odbiorca dokumentu może z łatwością je odsłonić.

Kwestia anonimizacji danych przechowywanych w zinformatyzowanych zbiorach jest zagadnieniem bardziej skomplikowanym.

W sprawie technik anonimizacji w 2014 r. wypowiedziała się Grupa Robocza art. 29 (poprzedniczka Europejskiej Rady Ochrony Danych)[2]. Ustalenia odnośnie technik anonimizacji przyjęte w tym dokumencie zostały w znacznym stopniu powtórzone w opublikowanym w 2018 r. przez Ministerstwo Cyfryzacji dokumencie „Otwarte dane – standardy  bezpieczeństwa”.

W obu wskazuje się na dwa generalne podejścia do anonimizacji: randomizację i uogólnienie.

Randomizacja to rodzina technik, które zmieniają dane w celu wyeliminowania silnego związku między danymi a konkretną osobą. W konsekwencji, dane charakteryzują się wystarczającą niepewnością i nie można ich już odnieść do konkretnej osoby. Podkreśla się, że randomizacja jednak sama w sobie nie zmienia charakteru poszczególnych rekordów (zapisów), ponieważ każdy z nich będzie pochodził od pojedynczego podmiotu danych, natomiast może chronić przed zagrożeniami wynikającymi z wnioskowania odnośnie do konkretnej osoby. Do tej rodziny technik anonimizacyjnych należą: dodawanie zakłóceń, permutacja (tj. przetasowanie wartości atrybutów tak, aby wartości dla jednego podmiotu danych były sztucznie przypisane do innego. Dane w zbiorze pozostają niezmienione, zmieniona jest natomiast korelacja między wartościami a poszczególnymi podmiotami) oraz prywatność różnicowa (do zastosowania w przypadku udostępniania konkretnego zakresu danych na podstawie zapytania odbiorcy. W tym celu generuje się dla odbiorcy podzbiór danych z wprowadzonymi zakłóceniami).

Drugą rodzinę technik anonimizacji stanowi uogólnianie (generalizacja). Polega ona na uogólnianiu lub osłabieniu atrybutów dla osób, których dane dotyczą, poprzez modyfikację skali lub rzędu wielkości (np.: podanie miast zamiast dzielnic, tygodnia zamiast dnia). Do tej rodziny należą takie techniki jak: agregacja i k-anonimizacja, l-dywersyfikacja i t-bliskość. Techniki z obu rodzin szczegółowo opisano w powyższych dokumentach wraz z przykładami zastosowań.

Warto jednak podkreślić, że zastosowanie określonych technik powinno zostać poprzedzone analizą ryzyka. Anonimizacja może bowiem okazać się jedynym środkiem mitygacji niektórych zagrożeń dla praw i wolności osób fizycznych. Narzędziem może tu być ocena skutków przetwarzania, o której mowa w art. 35 RODO.

Paradoksalnie, pomimo, że RODO dotyczy wyłącznie danych osobowych, w mojej ocenie należy również monitorować ryzyko deanonimizacji (reidentyfikacji) danych anonimowych lub zanonimizowanych.

Szczegółowe sugestie w tym zakresie zawarł brytyjski Information Commissioner’s Office w opublikowanym w październiku 2021 r. projekcie przewodnika dotyczącego m. in anonimizacji, a w szczególności w jego drugiej części dotyczącej skuteczności anonimizacji[3]. Przewodnik skupia się nie tyle na technikach anonimizacji ile na wyjaśnieniu celu anonimizacji oraz definicji podstawowych pojęć, od których skuteczność ta zależy, w szczególności od pojęcia identyfikowalności osoby.

Przetwarzając dane anonimowe należy zatem stale monitorować ryzyko powiązania tych danych z konkretnymi osobami.

[1] IV SAB/Gl 115/12

[2] Opinia WP 216 w sprawie technik anonimizacji przyjęta dnia 10 kwietnia 2014 r.

[3] https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/ico-call-for-views-anonymisation-pseudonymisation-and-privacy-enhancing-technologies-guidance/


Zgłoszenia

    Dane osoby składającej zamówienie:

    Dane do faktury:

    Imię i nazwisko

    Nazwa firmy / instytucji (Nie dotyczy osób fizycznych)

    Telefon

    Ulica

    Adres email

    Miasto

    Kod pocztowy

    NIP (Nie dotyczy osób fizycznych)

    Rodzaj faktury

    Czy konferencja będzie finansowana w min. 70% ze środków publicznych a w związku z tym obowiązuje zwolnienie z podatku VAT?

    Ilość uczestników:

    Dane uczestników:

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Imię i nazwisko

    Telefon

    Adres email

    Dodatkowe uwagi:

    Źródło informacji o konferencji:

    Social media (Facebook, Linkedin, etc)NewsletterKontakt telefonicznyInne

    Upoważniam Wydawnictwo MRM Witold Jarzyński do wystawienia faktury bez podpisu odbiorcy.

    Wyrażam zgodę na przesyłanie przez MRM Witold Jarzyński informacji handlowych na podany przez ze mnie adres e-mail.

    Wyrażam zgodę na kontakt telefoniczny (na podany nr telefonu) przez MRM Witold Jarzyński w celu marketingu bezpośredniego.

    ×
    Szkolenia, webinary i konferencje