Anonimizacja - definicja
Dane osobowe wymagają ochrony i chyba nie ma osoby, która nie zdawałaby sobie sprawy z tej konieczności.
Artykuł 4. RODO definiuje dane osobowe szeroko. Oznaczają one „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
Zatem jako dane osobowe, poza najbardziej oczywistymi (np. numerem PESEL), traktuje się także zbiory kilku, pozornie nawet mało znaczących danych, których powiązanie może prowadzić do ustalenia czyjejś tożsamości. Identyfikacja osoby nie musi nastąpić wprost.
Znając definicję danych osobowych, można przejść do sposobów ich ochrony. Jednym z nich jest anonimizacja danych. Należy ją rozumieć, jako proces uniemożliwiający identyfikację osoby fizycznej na podstawie danych osobowych.
Anonimizacja danych osobowych - na czym polega
Jak powinna być przeprowadzona anonimizacja dokumentu, aby była skuteczna? Należy poddać analizie dane osobowe i ocenić, które z nich umożliwiają zidentyfikowanie konkretnej osoby. Trzeba wziąć pod uwagę także zestawienia informacji. Nawet jeśli wyizolowane dane (np. samo imię) nie mają wartości, gdy zostaną odpowiednio połączone, mogą być już traktowane jako dane osobowe.
Wyróżnia się wiele technik anonimizacji, ale niezależnie od wyboru, najważniejsze jest, aby dane, które pozwolą określić osobę fizyczną zostały z dokumentu trwale i nieodwracalnie usunięte. Ta ostateczność procesu odróżnia anonimizację, od pseudonimizacji, która pozwala zaszyfrowane dane odzyskać.
Anonimizacja danych osobowych - ustawa
Wzmianki o anonimizacji danych znajdziemy w wielu dokumentach prawnych, m.in. w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, której miejsce obecnie zajęło RODO. Funkcjonujące w Polsce od 2018 roku rozporządzenie o ochronie danych osobowych nakłada na przedsiębiorstwa będące administratorami danych wiele obowiązków i obostrzeń.
Zazwyczaj, kiedy pojawia się kontekst ochrony danych osobowych, intuicyjnie kierujemy się właśnie do RODO. Nie zawiera ono jednak samej definicji anonimizacji dokumentów, ale warto przytoczyć fragment motywu 26. z preambuły rozporządzenia: „zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych”.
W związku z powyższym, nie ma obowiązku ochraniać zanonimizowanych danych, ponieważ przestają one pełnić funkcję danych osobowych i można je swobodnie przetwarzać.
