Przedsiębiorstwa niewiele wiedzą o anonimizacji

Materiał partnera
27-02-2018, 11:49
aktualizacja: 27-02-2018, 11:56

Reforma o ochronie danych osobowych zbliża się wielkimi krokami. Jednak firmy ciągle nie zdają sobie sprawy ze skali tych zmian. Ta nieświadomość może ich dużo kosztować.

Już za kilka miesięcy — 25 maja 2018 r., zaczną obowiązywać zapisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Rozporządzenie rozszerza zakres obowiązków podmiotów przetwarzających dane i jednocześnie daje narzędzia reagowania na sytuacje naruszenia nowych przepisów. RODO niesie ze sobą wiele pojęć związanych z ochroną danych osobowych. Jednym z nich — choć niezdefiniowanym w przepisach wprost — jest anonimizacja danych.

PODSTAWOWE POJĘCIE
Zobacz więcej

PODSTAWOWE POJĘCIE

Każdy przedsiębiorca przed wejściem w życie zapisów RODO powinien wiedzieć, czym jest anonimizacja danych osobowych i jak ją realizować — mówi Tomasz Mamys, project manager RODO w Sage Polska. [FOT. ARC]

— Anonimizacja polega na pozbawieniu danych osobowych informacji, które umożliwiają na ich podstawie zidentyfikowanie konkretnej osoby fizycznej. To proces nieodwracalny. Tym samym, co do zasady, po anonimizacji nie mamy już do czynienia z danymi osobowymi i w związku z tym — dane takie nie podlegają już pod RODO — wyjaśnia Tomasz Mamys, project manager RODO w Sage Polska.

Niestety, choć zapisy RODO zaczną obowiązywać za trzy miesiące, według badań GIODO z grudnia 2017 r. jedynie 31 proc. mikro i małych przedsiębiorców zna powody wprowadzenia nowych regulacji, a aż 72 proc. przedsiębiorstw nie sprawdziło nawet i nie wie, w jakim zakresie powinno przygotować się do RODO*.

Uwaga! Zagrożone dane

Skuteczna anonimizacja danych, takich jak np. nazwisko, adres, data urodzenia czy numer PESEL, oznacza, że już nigdy nie zidentyfikujemy konkretnej osoby na podstawie posiadanych informacji. Jak ten proces wygląda w praktyce? — Załóżmy, że w bazie danych mamy listę pracowników, a w wśród nich widnieje wpis: „Jan Nowak, starszy specjalista ds. obsługi klienta, legitymujący się wykształceniem średnim pomaturalnym, zarabiający brutto 4245 zł”.

Po anonimizacji zapis mógłby wyglądać tak: „starszy specjalista, z wykształceniem średnim, zarobki brutto w przedziale 4000-4500 zł”. Takie dane będą przydatne przedsiębiorcy np. do celów statystycznych czy stworzenia siatki płac w firmie. Anonimizacja będzie także wykorzystywana przy archiwizacji danych, w informacji publicznej, gdy wygaśnie zgoda na przetwarzanie danych osobowych — tłumaczy Tomasz Mamys. Dotychczas nie udało się wymyślić metody gwarantującej 100 proc. bezpieczeństwa danych.

Dlatego, jak podkreślają przedstawiciele firmy Sage, system ochrony danych, który organizacja buduje na swoje potrzeby, powinien być na bieżąco weryfikowany, udoskonalany, a wszyscy pracownicy, niezależnie od wykonywanej pracy, muszą mieć świadomość, jaki mają wpływ na bezpieczeństwo danych w firmie i jak sami mogą to bezpieczeństwo poprawić. A ryzyko, że dane trafią tam, gdzie nie powinny, jest dziś naprawdę wysokie.

— Z badań prowadzonych przez firmy zajmujące się bezpieczeństwem danych wynika, że nawet 87 proc. pracowników przyznaje się, że zdarzyło im się zgubić pendrive z danymi firmowymi. Ten prosty przykład pokazuje, jak łatwo dane osobowe mogą być zagrożone. W każdym biznesie, niezależnie od profilu, najsłabszym ogniwem w systemie zabezpieczeń będzie człowiek — przekonuje ekspert Sage.

Wysokie kary

Przed przystąpieniem do procesu anonimizacji należy poszukać odpowiedzi na pytanie: „Jakie informacje pozwalają na identyfikację danej osoby?”. To wymaga analizy posiadanej bazy danych osobowych.

— Warto sprawdzić, czy na podstawie posiadanych danych można mimo wszystko zidentyfikować osobę fizyczną, a także czy różne zapisane dane można połączyć w taki sposób, by została wskazana konkretna osoba lub też czy uda się wywnioskować, do kogo dane są przypisane. Jeśli bowiem nie określimy wszystkich krytycznych punktów, możliwe będzie odkodowanie danych. W efekcie, podczas kontroli narażamy się na zarzut bezpodstawnego ich przetwarzania, co może wiązać się z wysokimi karami finansowymi — uprzedza Tomasz Mamys.

Kary za złamanie zapisów RODO mogą wynieść 4 proc. całkowitego rocznego obrotu firmy z poprzedniego roku lub mogą sięgać nawet 20 mln EUR. Warto więc przed 25 maja 2018 r. sprawdzić, czy stosowane przez firmę systemy informatyczne pozwalają na skuteczną anonimizację informacji, jeśli taką formę przetwarzania chcemy wykorzystywać. Może się bowiem okazać, że trzeba zainwestować w specjalne oprogramowanie.

Całkowicie nowym pojęciem, które pojawia się w rozporządzeniu unijnym dotyczącym ochrony danych osobowych, jest pseudonimizacja. Jest to również metoda zabezpieczenia danych, ale zakłada przetworzenie ich w taki sposób, by bez znajomości określonego klucza nie było możliwości zidentyfikowania, do kogo należą. Proces ten jest więc odwracalny — jeśli znamy klucz, możemy odkodować dane. W praktyce wygląda to tak, że np. mając w bazie imię i nazwisko, zamieniamy je na ciąg cyfr, które ponownie można zamienić na dane osobowe, ale tylko znając klucz.

— W pseudonimizacji bardzo ważne jest więc odpowiednie zabezpieczenie informacji, dzięki którym możliwe jest odkodowanie bazy i zidentyfikowanie konkretnych osób. Ponadto, warto pamiętać, że dane spseudonimizowane nadal są danymi osobowymi i jako takie muszą być przetwarzane zgodnie z wymogami RODO. Jeśli przedsiębiorca nie ma zgody na przetwarzanie określonego rodzaju danych, pseudonimizacja nie zwalania go z odpowiedzialności, jaką niesie ze sobą przetwarzanie danych, do których nie mamy prawa — tłumaczy Tomasz Mamys.

*Raport Kantar Public dla GIODO „Wiedza i opinie polskich przedsiębiorców na temat zmian prawnych w zakresie ochrony danych osobowych”, grudzień 2017.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Materiał partnera

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Inne / Przedsiębiorstwa niewiele wiedzą o anonimizacji