Pseudonimizacja jest nowym wprowadzonym przez RODO pojęciem. Zgodnie z definicją zawartą w art.4 ust.5:
„pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
Zatem, pseudonimizacja jest procesem polegającym na oddzieleniu danych identyfikujących osobę (np. nr PESEL, Imię Nazwisko, adres zamieszkania) od danych opisujących osobę. W dalszym przetwarzaniu zastępujemy dane identyfikujące osobę fizyczną nadanym unikatowym identyfikatorem. Identyfikator musi być nadany przez podmiot przetwarzający na potrzeby tego przetwarzania danych, nie dopuszczalne jest użycie jakiegokolwiek powszechnie używanego, związanego z osobą fizyczną identyfikatora takiego jak PESEL, NIP nr dowodu osobistego. Po dokonaniu pseudonimizacji, dalsze przetwarzanie odbywa się w oparciu o nadany identyfikator uniemożliwiając bezpośrednie połączenie danych z konkretną osobą fizyczną. Dane identyfikujące osoby fizyczne wraz z przyznanymi identyfikatorami przechowywane są w dedykowanej, osobnej właściwie zabezpieczonej bazie.
Pseudonimizacja jest jednym z rekomendowanych przez RODO zabezpieczeń zmniejszających ryzyka związane z przetwarzaniem danych osobowych. Stosowanie pseudonimizacji nie zwalnia z jakichkolwiek wynikających z RODO obowiązków!.
Motyw 28: Pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Tym samym bezpośrednie wprowadzenie pojęcia „pseudonimizacja” w niniejszym rozporządzeniu nie służy wykluczeniu innych środków ochrony danych.
Motyw 26: Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.
Dane poddane procesowi pseudonimizacji to wciąż dane osobowe, których przetwarzanie musi odbywać się zgodnie z przyjętymi zasadami.
Odniesienia do pojęcia pseudonimizacji – jako jednego z możliwych, rekomendowanych zabezpieczeń znajdziemy także w motywach 78, oraz art.25 i 32 RODO.
Comments