O ile anonimizacja jest pojęciem znanym dla większości, o tyle słowo pseudonimizacja to coś, co pojawiło się w naszym systemie prawnym wraz z wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), które wyznacza zasady ochrony danych osobowych w Unii Europejskiej.
Anonimizacja a pseudonimizacja – czym się różnią i skąd wzieło się takie rozróżnienie w RODO?
Wraz z przyjęciem RODO w ubiegłym roku nastąpił ogromny wzrost zainteresowania bezpieczeństwem danych oraz metodami ochrony danych osobowych, takimi jak anonimizacja i pseudonimizacja. W praktyce oznacza to konieczność odpowiedzialnego i bezpiecznego zarządzania danymi osobowymi na każdym etapie ich przetwarzania. Cel operacyjnego wykorzystywania baz danych osobowych może być różny, począwszy od badań naukowych, poprzez leczenie pacjentów, działalność kancelarii prawnych, na testowaniu nowych aplikacji skończywszy. W każdym przypadku organizacja powinna brać pod uwagę prawa osób, których dane dotyczą, oraz sposób ich przetwarzania.
Tworzenie oprogramowania lub dodawanie nowych funkcji do istniejącego środowiska wymaga uruchomienia całego procesu w warunkach testowych, po to, aby zweryfikować, jak radzi sobie system pod konkretnym ciężarem obszernej bazy danych.
Dobrze, aby cały proces odbywał się w warunkach maksymalnie zbliżonych do takich, jakie będą miały miejsce podczas działania systemu w środowisku produkcyjnym. Dlatego najlepiej, aby aplikacje użytkowe i ich rozszerzenia były tworzone w oparciu o dane produkcyjne, przy czym konieczna jest wcześniejsza anonimizacja danych osobowych wykorzystywanych w testach.
Większość firm przykłada dużo uwagi do zabezpieczenia środowisk produkcyjnych przed wyciekiem danych, ale już środowiska testowe traktuje mniej restrykcyjnie, mimo że często pracuje się w nich z rzeczywistymi danymi osobowymi. W związku z tym zakładając, że najczęściej zawierają kopię lub fragmenty zasobów informacyjnych środowisk produkcyjnych, te środowiska stają się naturalnym celem ataków mających na celu nielegalne pozyskanie danych osobowych. Jednym z podstawowych sposobów zabezpieczenia środowiska TST DEV jest …anonimizacja danych osobowych wykorzystywanych podczas testów. Dane te powinny być dodatkowo objęte środkami technicznymi ograniczającymi ryzyko wycieku.
RODO nie dotyczy danych zanonimizowanych
W przepisach związanych z bezpieczeństwem przetwarzania danych osobowych i danych osobowych szczególnej kategorii nie ma mowy o anonimizacji danych. Zamiast tego pojawia się pojęcie pseudonimizacji danych. To logiczne, ponieważ anonimizacja danych wrażliwych oznacza, że w rzeczywistości mamy do czynienia ze zbiorem cech, bez możliwości identyfikacji osób, których dotyczą. Z tego powodu dane anonimowe nie są danymi osobowymi w rozumieniu art. 4 pkt 1 RODO.
Brak możliwości zidentyfikowania osoby fizycznej na podstawie takiego zbioru informacji powoduje, że baza danych osobowych zanonimizowanych nie podlega zasadom ochrony danych osobowych. Przepisy RODO nie mają tutaj zastosowania, co wynika z motywu 26 RODO.
Poniżej znajdziesz omówienie podstawowych różnic między anonimizacją i pseudonimizacją danych. Najpierw trzeba odpowiedzieć na pytanie: kiedy informacje są danymi osobowymi?
Z danymi osobowymi mamy do czynienia wtedy, gdy dysponujemy informacjami, które są wystarczające do tego, aby zidentyfikować konkretną osobę fizyczną. Definicja danych osobowych znajduje się w art. 4 pkt 1 RODO.
Co to jest anonimizacja?
Motyw 26 RODO definiuje anonimizację danych osobowych jako trwałe usunięcie lub modyfikację danych uniemożliwiające zidentyfikowanie konkretnej osoby, której te dane dotyczą.
Działanie to polega na usunięciu z bazy danych informacji o charakterystycznych cechach osobowych lub ich przekształceniu w taki sposób, aby powstał zbiór danych osobowych zanonimizowanych, który nie pozwala na identyfikację osób, których dane dotyczą. Dzięki temu możliwe jest dalsze korzystanie z danych bez ryzyka powiązania ich z konkretnymi osobami.
W praktyce anonimizacja danych osobowych jest stosowana zarówno podczas zbierania informacji, jak i w trakcie ich dalszego przetwarzania. Przeprowadzanie jej na samym początku, w momencie zbierania informacji w systemie, polega na tym, że w ogóle nie wprowadza się danych identyfikacyjnych do systemu.
Wsparciem procesu anonimizacji jest separacja danych w bazach, w taki sposób, aby relacje pomiędzy poszczególnymi rekordami nie znajdowały się w jednym zbiorze.
Przykładowe rozwiązania: Broadcom Test Data Manager, IBM Optim, Delphix, Informatica TDM, GenRocket, Mostly AI, Tonic.ai oraz narzędzia open source, takie jak Faker czy Synthea.
Trzeci mechanizm procesu anonimizacji może polegać na zastosowaniu metod anonimizacji tylko w stosunku do danych pobieranych z systemu (udostępnianych). Wtedy dane wrażliwe usuwane są z pełnej bazy na etapie pobierania ich przez uprawnione do tego osoby. Takie filtrowanie danych wymaga bezpiecznego systemu, który zapewnia należytą zgodność z zasadami ochrony danych osobowych.
Kiedy potrzebna jest pseudonimizacja?
Pseudonimizacja niezbędna jest wtedy, gdy mamy do czynienia z danymi osobowymi, a nie ze zbiorem informacji z identyfikatorami, których wykorzystanie nie pozwoli nam na zidentyfikowanie osoby fizycznej. Rozróżniamy identyfikatory unikalne, czyli takie, które nie zostały utworzone wewnątrz systemu i jednoznacznie identyfikują użytkownika ponad pojedynczym systemem wdrożonym w danej organizacji (np. numery PESEL, NIP) oraz identyfikatory niemające jednoznacznego charakteru. W praktyce informacje umożliwiające powiązanie takich identyfikatorów z konkretną osobą powinny być przechowywane osobno i odpowiednio zabezpieczone. W niektórych przypadkach powiązanie takich identyfikatorów z konkretną osobą jest możliwe jedynie na podstawie informacji przechowywanych osobno.
Na przykład zbiór informacji zawierających płeć, kolor oczu, wiek czy kraj pochodzenia teoretycznie nie pozwala przypisać tych danych konkretnej osobie fizycznej. Jeśli jednak dodamy do tego informacje na temat imienia i nazwiska, wzrostu, zawodu to możliwość identyfikacji radykalnie wzrasta.
Można jednak wyobrazić sobie sytuację, w której zestaw podstawowych informacji niejednoznacznych będzie na tyle charakterystyczny, że może doprowadzić do pośredniego zidentyfikowania osoby fizycznej. Wszystko zależy od kontekstu przestrzeni, w której eksplorujemy konkretną bazę informacji oraz od tego, czy dostępne dane mogą umożliwić przypisanie zidentyfikowanej osobie fizycznej konkretnych informacji.
Przykład: niebieskooki mężczyzna, urodzony w Polsce, lat 47, będzie bardzo łatwy do zidentyfikowania w… Kongo.
Co to oznacza? Świadczy to o tym, że granica między informacją a danymi osobowymi nie zawsze jest wyraźna i oczywista. Dlatego w procesie pseudonimizacji niezwykle ważna jest analiza określająca zakres danych wymagających pseudonimizacji, profil akceptowanego ryzyka oraz wejściowych parametrów. Stanowi to istotny element ochrony danych osobowych.
Powód i sposób dokonania pseudonimizacji należy jasno określić, ponieważ pseudonimizacja powinna odbywać się w konkretnym celu. Proces pseudonimizacji w pewnym stopniu może ograniczać zakres wartościowych i spójnych informacji dostępnych w zbiorze danych, ponieważ wraz ze wzrostem stopnia pseudonimizacji maleje użyteczność zestawu danych.
W związku z tym organizacja musi zdecydować o stopniu kompromisu między akceptowalną (lub oczekiwaną) użytecznością a próbą zmniejszenia ryzyka. Nieumiejętnie wykonana pseudonimizacja może zniszczyć spójność danych w rozumieniu biznesowym, w szczególności w przypadku testowania rozwiązań przeznaczonych do segmentacji/profilowania klientów, kampanii marketingowych itp.
Co to jest pseudonimizacja?
Pseudonimizacja jest metodą ochrony danych osobowych podobną do anonimizacji z tą różnicą, że z użyciem dodatkowych informacji możliwe jest przypisanie danych do konkretnej osoby.
Z tego też względu w przepisach RODO porusza się zagadnienia związane z pseudonimizacją, a nie pełną anonimizacją, ponieważ po anonimizacji nie możemy mówić o przetwarzaniu danych osobowych. Pojęcie pseudominizacji zostało wprowadzone w art. 4 pkt 5 RODO.
Na czym polega pseudonimizacja?
Pseudonimizacja polega na zastępowaniu danych identyfikacyjnych kryptonimami (pseudonimy), które mogą być w przypadku takich danych, jak imię i nazwisko samymi inicjałami lub np. liczbami. Dzięki temu bez dostępu do dodatkowych informacji nie jest możliwe przypisanie zidentyfikowanej osobie konkretnych danych zapisanych w systemie.
Z tego wynika, że możemy znaleźć właściciela danych, ponieważ nie są one – tak jak w przypadku anonimizacji – anonimizowane, a jedynie zaszyfrowane. Taki sposób zabezpieczenia danych związany jest również z wymaganiami RODO w zakresie zapewnienia bezpieczeństwa przetwarzania danych (art. 32 ust. 1 lit. a RODO oraz art. 5 ust. 1 lit. f RODO).
Jak stwierdzić czy dana osoba fizyczna jest możliwa do zidentyfikowania mimo pseudonimizacji danych?
W tym przypadku niestety RODO jest mniej precyzyjne. Motyw 26 rozporządzenia mówi o wszelkich rozsądnie prawdopodobnych sposobach oraz o uzasadnionym prawdopodobieństwie, że zostaną wykorzystane w celu identyfikacji danej osoby. Należy wziąć pod uwagę koszty, czas oraz technologie, jakie byłyby potrzebne do osiągnięcia tego celu.
Pseudonimizacja w praktyce
Zaletą pseudonimizacji jest fakt, że jest łatwa do osiągnięcia niezależnie od warunków. Istnieje wiele sposobów na pseudonimizację danych, które zależą od tego, jaki poziom bezpieczeństwa chcemy uzyskać.
Pseudonimizacja pozwala zachować korelację różnych danych przypisanych do konkretnej osoby jako całość, a zarazem zapewnia tej osobie anonimowość. Zidentyfikować osobę, której dotyczą dane, mogą tylko osoby posiadające dodatkowe informacje (klucz).
Ponadto wykorzystanie pseudonimizacji przynosi jeszcze inne korzyści: ogranicza ryzyko wystąpienia negatywnych skutków w sytuacji naruszenia ochrony danych osobowych. Nawet jeśli ktoś nieupoważniony pozyska spseudonimizowane dane, to bez dodatkowych informacji nie będzie mógł zidentyfikować ich właścicieli. Pseudonimizacja jest ważnym elementem przetwarzania danych osobowych zgodnie z podstawowymi zasadami ich ochrony (art. 5 ust. 1 RODO), tj. w sposób zgodny z prawem i bezpieczny. Wdrożenie i dokumentacja procesu pseudonimizacji danych może być istotna w wykazaniu przestrzegania zasad ochrony danych osobowych przez administratora, co w razie naruszenia ochrony danych może uchronić go przed karą w wysokości do 20 mln euro lub 4% rocznego światowego obrotu w przypadku przedsiębiorstwa.
Wykorzystaj możliwość anonimizacji i pseudonimizacji danych za pomocą rozwiązania Soflab G.A.L.L.
Pseudonimizacja – sposoby i przykłady:
Pseudonimizacji możemy dokonać za pomocą:
-
- zaciemniania lub maskowania liter,
- szyfrowania z zastrzeżeniem, że klucz (algorytm) dekodujący przechowywany jest w innej bazie,
- tokenizacji poprzez wykorzystanie wejściowego strumienia znakowego do tworzenia tokenów,
- zastępowania części danych ciągiem znaków (znamy to choćby ze sposobu podawania numeru kart płatniczych),
- modyfikacji danych w taki sposób, aby pokazywały przybliżone wartości.
Podstawowym atrybutem, który odróżnia pseudonimizację i anonimizację jest jej odwracalność. Anonimizacja jest procesem nieodwracalnym, natomiast pseudonimizacja jest odwracalna.
Jak działa aplikacja do anonimizacji danych?
W aspekcie związanym z tworzeniem lub rozwojem oprogramowania poprawna anonimizacja danych i ich eksport są kluczowe dla bezpieczeństwa danych i dla wydajności tworzonych rozwiązań.
W tej sytuacji warto skorzystać z rozwiązań dostępnych na rynku oraz doświadczenia ekspertów, którzy je projektują. Dzięki temu umożliwiamy programistom, deweloperom i testerom użycie wiarygodnych danych, jednocześnie nie narażając poufnych danych produkcyjnych.
Rozwiązania IT służące anonimizacji i pseudonimizacji baz danych mają wiele zalet i wspierają organizacje w ochronie danych przetwarzanych w systemach informatycznych. Algorytmy narzędzia Soflab G.A.L.L. wspierają proces identyfikacji danych wrażliwych i ich modyfikacji w taki sposób, aby nie było możliwe ustalenie tożsamości osoby, której dane dotyczą.
Zwiększanie liczebności danych
Co ciekawe, narzędzie do anonimizacji danych Soflab G.A.L.L. umożliwia generowanie nowych przypadków testowych. Narzędzie pozwala na pobranie spójnej próbki danych, która może podlegać dalszej obróbce oraz powielaniu, tworząc nowe pozycje w bazie z losowymi atrybutami (inne nazwisko, wiek, zawód itp.). Dzięki temu możemy powiększać liczbę danych i testować oprogramowanie pod dużym obciążeniem.
Operację tę można przeprowadzać szybko oraz wielokrotnie i mimo powtarzalności działania za każdym razem otrzymamy inny efekt, ciągle zachowując spójność danych.
Polska aplikacja do anonimizacji danych
Środowisko testowe lub deweloperskie jest jednym z tych obszarów w firmie, gdzie najłatwiej dochodzi do wycieku danych, dlatego powinno być objęte szczególnymi procedurami ochrony danych osobowych. Aplikacja Soflab G.A.L.L. jest tak zaprogramowana, że procesu anonimizacji nie da się odwrócić, co oznacza, że nie można zidentyfikować osób, których dane dotyczą. Pozwala to na zwiększenie bezpieczeństwa danych w środowisku nieprodukcyjnym i w 100% zapobiega identyfikacji.
Anonimizacja i pseudonimizacja danych wrażliwych z wykorzystaniem Soflab G.A.L.L. pozwala na stworzenie w pełni funkcjonalnych baz danych, zawierających wiarygodne informacje gotowe do użycia w środowiskach nieprodukcyjnych.
Otwarta architektura aplikacji Soflab G.A.L.L. łatwo dostosowuje się do środowiska organizacji i istniejących rozwiązań. Proces anonimizacji możemy realizować z plików csv zawierających zrzut zawartości tabel z systemu lub poprzez bezpośrednie połączenie do baz danych opartych na motorach ze sterownikami JDBC lub connector Python.
Podsumowanie
Skuteczne rozwiązania stosowane w zakresie ochrony danych osobowych wymagają odpowiednich narzędzi oraz doświadczenia. Zapewnienie zgodności tych rozwiązań z przepisami oraz realizacja obowiązku ochrony danych powinny być priorytetem dla każdej organizacji. Przechowywane bazy danych warto poddać pseudonimizacji lub anonimizacji nawet wówczas, gdy nie są udostępniane podmiotom zewnętrznym (np. w ramach pracy nad rozwojem systemu informatycznego). Dzięki temu cały proces jest zgodny z RODO.
Prawo do bycia zapomnianym wynikające z art. 17 RODO lub realizowane jest poprzez usunięcie wszystkich danych osobowych osoby, której dotyczą. Skorzystanie z rozwiązań, takich jak anonimizacja danych osobowych, pozwala realizować przepisy dotyczące prawa do zapomnienia, a zarazem daje możliwość zachowania danych jako zestawu anonimowych informacji o zachowaniach klientów. Pozwala to na lepsze dostosowywanie procesów w organizacjach poprzez wykorzystanie tych danych do doskonalenia procedur i oferty.
Jeśli interesuje Cię zwiększenie bezpieczeństwa danych w środowisku nieprodukcyjnym (testowym lub deweloperskim), skontaktuj się z nami, a wyjaśnimy, jak za pomocą polskich algorytmów zwiększyć bezpieczeństwo bazy danych i zachować przy tym jej właściwości statystyczne, zwiększyć wolumen danych i realizować prawo do zapomnienia bez utraty cennych informacji oraz zgodnie z wymaganiami RODO.
W efekcie pseudonimizacji otrzymujemy informacje (wciąż mające charakter danych osobowych), na podstawie których nie można zidentyfikować konkretnej osoby fizycznej bez posiadania klucza (dodatkowych informacji), na którym oparto proces pseudonimizacji. W praktyce oznacza to, że osoba nieuprawniona nie jest w stanie ustalić tożsamości osoby, której dane dotyczą, bez dostępu do dodatkowych informacji. Informacje pozwalające na ponowną identyfikację osoby powinny być przechowywane osobno oraz objęte odpowiednimi środkami technicznymi i zabezpieczeniami organizacyjnymi.