Artykuły eksperckie

Ogólne Rozporządzenie o Ochronie Danych (RODO), wprowadziło szereg mechanizmów mających na celu zwiększenie bezpieczeństwa informacji oraz zapewnienie prywatności osób fizycznych. Wśród technicznych środków ochrony danych szczególne miejsce zajmują procesy anonimizacji i pseudonimizacji. Choć często używane zamiennie, koncepcje te reprezentują odmienne podejścia do zabezpieczania informacji, co przekłada się na ich różny status prawny i konsekwencje dla administratorów danych. W tym artykule zapoznasz się z istotą obu mechanizmów, znaczeniem w kontekście zgodności z RODO oraz poznasz praktyczne implikacje ich stosowania w codziennej działalności podmiotów przetwarzających dane osobowe – czyli m.in. takiej organizacji jak Twoja!

Pseudonimizacja danych osobowych według RODO

Pseudonimizacja to pojęcie, którym RODO posługuje się bezpośrednio w swoich przepisach. Na starcie więc poznaj oficjalną definicję:

Pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Inaczej mówiąc pseudonimizacja jest procesem odwracalnym. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej, a więc są danymi osobowymi. Administrator posiada niejako “klucz” do odkodowania danych i przypisania ich do konkretnej osoby.

Dlatego właśnie pseudonimizacja uważana jest za jeden ze środków technicznych podnoszących poziom bezpieczeństwa danych. Pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Tym samym bezpośrednie wprowadzenie pojęcia „pseudonimizacja” w niniejszym rozporządzeniu nie służy wykluczeniu innych środków ochrony danych.

Dodatkowe wytyczne i interpretacje dotyczące pseudonimizacji wynikają z orzecznictwa. Przykładowo Naczelny Sąd Administracyjny, w wyroku z 14 stycznia 2025 r. (III OSK 6041/21) wskazuje, że:

• spseudoanonimizowane informacje należy uznać za dane osobowe, jeżeli istnieje możliwość przypisania ich do konkretnej osoby przy użyciu dodatkowych informacji;
• dla uznania danych za osobowe kluczowa jest realna możliwość połączenia „informacji zasadniczej” z „informacjami dodatkowymi”, prowadząca do identyfikacji osoby;
• sama teoretyczna możliwość identyfikacji nie wystarczy – musi istnieć „rozsądnie prawdopodobny sposób” i „uzasadnione prawdopodobieństwo” wykorzystania dostępnych mechanizmów identyfikacji;
• ocena, czy dane są danymi osobowymi, jest relatywna i zależy od możliwości konkretnego administratora w zakresie łączenia posiadanych informacji z innymi danymi;
• dane pseudonimizowane uzyskują status danych osobowych tylko wtedy, gdy administrator lub inny podmiot ma faktyczny dostęp do informacji dodatkowych umożliwiających identyfikację.

Na podstawie tych informacji, można już stworzyć katalog przesłanek, po spełnieniu których można mówić o pseudonimizacji:

1. przetwarzanie danych osobowych w sposób uniemożliwiający przypisanie ich do konkretnej osoby bez użycia dodatkowych informacji;
2. przechowywanie dodatkowych informacji (umożliwiających identyfikację) osobno od spseudonimizowanych danych;
3. zastosowanie środków technicznych i organizacyjnych uniemożliwiających przypisanie danych zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
4. odwracalność procesu – możliwość ponownego przypisania danych do konkretnej osoby przy użyciu „klucza”;
5. realna (a nie tylko teoretyczna) możliwość połączenia „informacji zasadniczej” z „informacjami dodatkowymi” prowadząca do identyfikacji osoby;
6. faktyczny dostęp administratora lub innego podmiotu do informacji dodatkowych umożliwiających identyfikację.

Ważne! Zgodnie z wytycznymi Enisa od pseudonimizacji należy odróżnić szyfrowanie danych. Szyfrowanie danych to sposób zabezpieczenia. danych Informacja staje się niezrozumiała dla osoby, która nie jest uprawniona do dostępu do tejże informacji na skutek zastosowania mechanizmu kodowania informacji.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Przykłady pseudonimizacji

1. Zakodowanie danych pacjentów w placówkach medycznych:
   • Szpital zastępuje dane identyfikacyjne pacjenta (imię, nazwisko, PESEL) unikalnym kodem/tokenem,
   • Dokumentacja medyczna oznaczona jest tylko tym kodem,
   • Baza łącząca kody z danymi osobowymi przechowywana jest w osobnym, zabezpieczonym systemie
   • Personel medyczny ma dostęp tylko do niezbędnych danych związanych z tokenem,
   • W razie potrzeby administrator systemu może połączyć token z danymi identyfikacyjnymi.
2. Systemy lojalnościowe w handlu detalicznym:
   • Sklep przydziela klientowi numer karty lojalnościowej,
   • Wszystkie transakcje i historia zakupów są zapisywane pod tym numerem,
   • Dane osobowe klienta (imię, nazwisko, adres) przechowywane są w oddzielnej bazie danych,
   • Dział analityczny widzi tylko pseudonimizowane dane zachowań zakupowych,
   • Dział obsługi klienta ma dostęp do klucza łączącego numer karty z danymi osobowymi.
3. Badania kliniczne i projekty naukowe:
   • Uczestnicy badania otrzymują losowe identyfikatory badawcze,
   • Wszystkie próbki biologiczne, wyniki badań i ankiety oznaczane są tylko tym identyfikatorem,
   • Lista łącząca identyfikatory z danymi osobowymi uczestników przechowywana jest przez głównego badacza w osobnym, zabezpieczonym systemie,
   • Zespół badawczy analizuje dane oznaczone tylko identyfikatorami,
   • W razie konieczności (np. wycofanie zgody lub poważne skutki uboczne) główny badacz może zidentyfikować uczestnika.

Anonimizacja danych osobowych

Ogólne rozporządzenie o ochronie danych nie wprowadza definicji legalnej anonimizacji. To nie znaczy jednak, że nic o niej nie możemy powiedzieć. Dobrym punktem wyjściowym jest, nieobowiązująca już co prawda, ale istotna z tego punktu widzenia polska ustawa o ochronie danych osobowych z 1997 r. Posługuje się ona wprost terminem “anonimizacja” w art. 2:

W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy (…).

Jednak podobnie jak rozporządzenie RODO, ustawa nie definiuje wprost czym jest anonimizacja. Uważa się, że jest to działanie mające na celu ukrycie tożsamości i uniemożliwienie identyfikacji danej osoby. Jest to więc czynność nieodwracalna w odróżnieniu od pseudonimizacji. Zanonimizowane dane osobowe co do zasady nie są więc uważane za dane osobowe bo nie można dzięki nim zidentyfikować konkretnej osoby.

Dodatkową wskazówkę możemy znaleźć w motywie nr 26 w RODO. Motywy w RODO (lub „recitals” w angielskiej wersji) to wstępne fragmenty rozporządzenia, które poprzedzają właściwe przepisy. Pełnią one istotną rolę interpretacyjną i wyjaśniającą dla przepisów zawartych w artykułach RODO ale nie są samymi przepisami.

Zgodnie ze wspomnianym wyżej motywem zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Przykłady anonimizacji

1. Raporty statystyczne w badaniach rynkowych:
   • Firma badawcza zbiera ankiety od respondentów zawierające dane osobowe
   • Po zebraniu wszystkich danych, firma usuwa wszelkie identyfikatory osobowe (imiona, nazwiska, adresy),
   • Dane demograficzne są agregowane do szerokich kategorii (np. zamiast dokładnego wieku zostaje przedział 25-34 lata),
   • Kody pocztowe są skracane do pierwszych cyfr, aby uniemożliwić identyfikację małych społeczności,
   • Unikalną kombinację cech, które mogłyby zidentyfikować osobę, modyfikuje się lub usuwa,
   • Wszystkie oryginalne dane z identyfikatorami zostają trwale usunięte,
   • Wynikowy raport zawiera jedynie anonimowe dane zagregowane, z których nie da się zidentyfikować żadnej konkretnej osoby.
2. Dane diagnostyczne wysyłane z urządzeń elektronicznych:
   • Producent zbiera informacje o błędach i awariach urządzenia,
   • Wszystkie identyfikatory urządzenia (numery seryjne, MAC adresy) są usuwane,
   • Dane lokalizacyjne są całkowicie usuwane lub znacząco uogólniane (np. tylko nazwa kraju),
   • Informacje o użytkowniku są usuwane, pozostają tylko dane o błędach i konfiguracji systemu,
   • Historia użytkowania jest agregowana do wzorców, bez możliwości przypisania do konkretnego użytkownika,
   • Oryginalne dane są trwale usuwane po przetworzeniu,
   • Rezultat: całkowita niemożliwość przypisania danych diagnostycznych do konkretnej osoby.
3. Publikacja danych badawczych w otwartym dostępie:
   • Uniwersytet prowadzi badania na grupie pacjentów z określoną chorobą,
   • Przed publikacją wyników, usuwa się wszystkie bezpośrednie identyfikatory (imiona, nazwiska, numery identyfikacyjne),
   • Dokładne daty zastępuje się okresami lub przedziałami czasowymi,
   • Rzadkie cechy lub diagnozy są uogólniane lub usuwane, aby zapobiec identyfikacji,
   • Dane geograficzne są agregowane do poziomu regionów lub większych jednostek,
   • Dane tekstowe są oczyszczane z osobistych wzmianek i identyfikowalnych szczegółów,
   • Stosuje się techniki takie jak szum statystyczny – dodanie kontrolowanego szumu do liczb,
   • Po zakończeniu procesu anonimizacji nie istnieje możliwość odtworzenia oryginalnych danych osobowych.

Pseudonimizacja a anonimizacja – podsumowanie

	Pseudonimizacja	Anonimizacja
Definicja w RODO	Zdefiniowana bezpośrednio w przepisach RODO	Brak definicji legalnej w RODO
Odwracalność procesu	Proces odwracalny	Proces nieodwracalny
Status prawny danych	Nadal uznawane za dane osobowe	Nie są uznawane za dane osobowe
Możliwość identyfikacji osoby	Możliwa przy użyciu dodatkowych informacji („klucza”)	Niemożliwa – tożsamość ukryta trwale
Przechowywanie informacji	Dodatkowe informacje przechowywane osobno i zabezpieczone	Nie istnieją dodatkowe informacje umożliwiające identyfikację
Zastosowanie RODO	RODO ma zastosowanie	RODO nie ma zastosowania
Warunki uznania	Wymaga realnej możliwości połączenia informacji zasadniczej z dodatkowymi	Wymaga całkowitego i trwałego uniemożliwienia identyfikacji
Główny cel	Zwiększenie bezpieczeństwa danych przy zachowaniu możliwości identyfikacji	Całkowite usunięcie możliwości identyfikacji
Odniesienie w przepisach historycznych	Brak w polskiej ustawie o ochronie danych z 1997 r.	Wzmiankowana w art. 2 polskiej ustawy o ochronie danych z 1997 r.
Interpretacja	Szczegółowo omówiona w orzecznictwie	Pośrednio wspomniana w motywie 26 RODO

Wdrożenie i audyt RODO – Kancelaria After Legal

Zespół Kancelarii After Legal już od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowego wsparcia prawnego. Przetwarzanie danych osobowych wciąż budzi wiele wątpliwości u administratorów. Wskazanie przesłanki legitymizującej taką operację nie zawsze będzie proste. Kluczem dla sprawnego funkcjonowania organizacji jest też wypracowanie kompletnych, jednoznacznych i bezpiecznych wytycznych pozwalających pracownikom na zarządzanie danymi osobowymi klientów firmy. Oferujemy kompleksowe wsparcie w zakresie RODO. Zapewniamy wdrożenie rozporządzenia RODO w organizacji, opracowujemy procesy i dokumentację, a także szkolimy pracowników wraz z kadrą zarządzającą. Realizujemy też cykliczne audyty w zakresie RODO compliance.