Pseudonimizacja

wybór, które pola danych mają być pseudonimizowane, jest częściowo subiektywny. Często uwzględnia się również mniej selektywne pola, takie jak data urodzenia lub kod pocztowy, ponieważ są one zwykle dostępne z innych źródeł i w związku z tym ułatwiają identyfikację rekordu. Pseudonimizacja tych mniej identyfikujących pól usuwa większość ich wartości analitycznej i dlatego zwykle towarzyszy jej wprowadzenie nowych pochodnych i mniej identyfikujących form, takich jak rok urodzenia lub większy region kodu pocztowego.

pola danych, które są mniej identyfikujące, takie jak data obecności, zwykle nie są pseudonimizowane. Ważne jest, aby zdać sobie sprawę, że dzieje się tak dlatego, że traci się przy tym zbyt dużą użyteczność statystyczną, a nie dlatego, że Danych nie można zidentyfikować. Na przykład, biorąc pod uwagę wcześniejszą znajomość kilku dat obecności łatwo jest zidentyfikować czyjeś dane w pseudonimizowanym zbiorze danych, wybierając tylko te osoby z tym wzorem dat. Jest to przykład ataku wnioskowania.

słabość danych pseudonimizowanych przed RODO do ataków wnioskowania jest często pomijana. Znanym przykładem jest skandal AOL search data. Przykład nieautoryzowanej ponownej identyfikacji AOL nie wymagał dostępu do oddzielnie przechowywanych „dodatkowych informacji”, które były pod kontrolą administratora danych, co jest obecnie wymagane do pseudonimizacji zgodnej z RODO. Zobacz nową definicję pseudonimizacji w RODO poniżej.

Ochrona statystycznie użytecznych pseudonimizowanych danych przed ponowną identyfikacją wymaga:

  1. solidna baza bezpieczeństwa informacji
  2. kontrolowanie ryzyka, że analitycy, badacze lub inni pracownicy danych spowodują naruszenie prywatności

pseudonim umożliwia śledzenie danych do ich źródeł, co odróżnia pseudonimizację od anonimizacji, gdzie wszystkie dane osobowe, które mogłyby umożliwić śledzenie, zostały usunięte. Pseudonimizacja jest problemem, na przykład, w danych dotyczących pacjenta, które muszą być bezpiecznie przekazywane między ośrodkami klinicznymi.

zastosowanie pseudonimizacji do e-zdrowia ma na celu zachowanie prywatności i poufności danych pacjenta. Pozwala na pierwotne wykorzystanie dokumentacji medycznej przez uprawnionych dostawców opieki zdrowotnej i zachowanie prywatności wtórnego wykorzystania przez naukowców. W Stanach Zjednoczonych HIPAA zapewnia wytyczne dotyczące postępowania z danymi dotyczącymi opieki zdrowotnej, a dezidentyfikacja danych lub pseudonimizacja jest jednym ze sposobów uproszczenia zgodności z HIPAA. Jednak zwykła pseudonimizacja w celu zachowania prywatności często osiąga swoje granice, gdy zaangażowane są dane genetyczne (patrz także prywatność genetyczna). Ze względu na identyfikujący charakter danych genetycznych, depersonalizacja często nie jest wystarczająca, aby ukryć odpowiednią osobę. Potencjalne rozwiązania to połączenie pseudonimizacji z fragmentacją i szyfrowaniem.

przykładem zastosowania procedury pseudonimizacji jest tworzenie zbiorów danych do badań de-identyfikacji poprzez zastąpienie słów identyfikacyjnych słowami z tej samej kategorii (np. zastąpienie nazwy losową nazwą ze słownika nazw), jednak w tym przypadku na ogół nie jest możliwe śledzenie danych do ich początków.

Nowa definicja pseudonimizacji w GDPREdit

obowiązujące od 25 maja 2018 r.Ogólne Rozporządzenie o ochronie danych (RODO) UE definiuje pseudonimizację po raz pierwszy na poziomie UE w art. 4 ust. 5. Zgodnie z art. 4 ust. 5 wymogów definicyjnych dane są pseudonimizowane, jeśli nie można ich przypisać konkretnej osobie, której dane dotyczą, bez użycia oddzielnie przechowywanych ” informacji dodatkowych.”Pseudonimizowane dane odzwierciedlają stan wiedzy w zakresie ochrony danych od samego początku i domyślnie, ponieważ wymagają ochrony zarówno bezpośrednich, jak i pośrednich identyfikatorów (nie tylko bezpośrednich). GDPR Ochrona danych w fazie projektowania i domyślne zasady zawarte w pseudonimizacji wymagają ochrony zarówno bezpośrednich, jak i pośrednich identyfikatorów, dzięki czemu dane osobowe nie są możliwe do odsyłacza (lub ponownego zidentyfikowania) za pośrednictwem „efektu mozaiki” bez dostępu do „dodatkowych informacji”, które są przechowywane oddzielnie przez administratora. Ponieważ dostęp do oddzielnie przechowywanych „dodatkowych informacji” jest wymagany do ponownej identyfikacji, przypisanie danych konkretnej osobie, której Dane Dotyczą, może być ograniczone przez Administratora wyłącznie do celów zgodnych z prawem.

RODO Artykuł 25(1) określa pseudonimizację jako „odpowiedni środek techniczny i organizacyjny”, a Artykuł 25(2) wymaga od administratorów:

„…wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, że domyślnie przetwarzane są tylko dane osobowe, które są niezbędne do każdego konkretnego celu przetwarzania. Obowiązek ten dotyczy ilości gromadzonych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania i dostępności. W szczególności takie środki zapewniają, aby domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.”

głównym elementem ochrony danych od samego początku i domyślnie zgodnie z art. 25 RODO jest egzekwowanie kontroli technologii, które wspierają odpowiednie zastosowania i zdolność do wykazania, że w rzeczywistości możesz dotrzymać obietnic. Technologie takie jak pseudonimizacja, które wymuszają ochronę danych od samego początku i domyślnie pokazują poszczególnym osobom, których dane dotyczą, że oprócz wymyślania nowych sposobów czerpania wartości z danych, organizacje stosują równie innowacyjne podejście techniczne do ochrony prywatności danych—szczególnie wrażliwy i aktualny problem ze względu na epidemię naruszeń bezpieczeństwa danych na całym świecie.

dynamiczne i rozwijające się obszary działalności gospodarczej—”gospodarka zaufania”, badania naukowe, spersonalizowana medycyna/edukacja, Internet Rzeczy, Personalizacja towarów i usług—opierają się na zaufaniu osób, że ich dane są prywatne, chronione i wykorzystywane tylko do odpowiednich celów, które przynoszą im i społeczeństwu maksymalną wartość. Zaufanie to nie może być utrzymywane przy użyciu przestarzałego podejścia do ochrony danych. Pseudonimizacja, jak nowo zdefiniowano w RODO, jest środkiem pomagającym osiągnąć ochronę danych od samego początku, a domyślnie zdobyć i utrzymać zaufanie oraz skuteczniej służyć firmom, badaczom, świadczeniodawcom opieki zdrowotnej i wszystkim, którzy polegają na integralności danych.

pseudonimizacja zgodna z RODO nie tylko umożliwia większe wykorzystanie danych z poszanowaniem prywatności w dzisiejszym świecie udostępniania i łączenia danych „big data”, ale także umożliwia administratorom danych i procesorom czerpanie wyraźnych korzyści w ramach RODO z poprawnych pseudonimizowanych danych.Zalety odpowiednio pseudonimizowanych danych są podkreślone w wielu artykułach o RODO, w tym:

  • art. 6 ust. 4 jako zabezpieczenie mające na celu zapewnienie zgodności nowego przetwarzania danych.
  • Artykuł 25 jako środek techniczny i organizacyjny mający pomóc w egzekwowaniu zasad minimalizacji danych i zgodności z przepisami dotyczącymi ochrony danych od samego początku i domyślnie.
  • Artykuły 32, 33 i 34 jako środek bezpieczeństwa pomagający sprawić, że naruszenia danych „prawdopodobnie nie spowodują ryzyka dla praw i wolności osób fizycznych”, zmniejszając tym samym odpowiedzialność i obowiązki powiadamiania o naruszeniach danych.
  • art. 89 ust. 1 jako zabezpieczenie w związku z przetwarzaniem w celach archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych; ponadto korzyści wynikające z pseudonimizacji zgodnie z art. 89 ust. 1 zapewniają również większą elastyczność zgodnie z:
    1. Art. 5 ust. 1 lit. b) w odniesieniu do ograniczenia celu;
    2. Art. 5 ust. 1 lit. e) w odniesieniu do ograniczenia przechowywania; oraz
    3. art. 9 ust. 2 lit. j) w odniesieniu do zniesienia ogólnego zakazu przetwarzania art. 9 ust. 1 szczególne kategorie danych osobowych.
  • ponadto odpowiednio pseudonimizowane dane zostały uznane w artykule 29 opinii Grupy Roboczej 06/2014 jako odgrywające „…rolę w odniesieniu do oceny potencjalnego wpływu przetwarzania na osobę, której dane dotyczą…przechylić saldo na rzecz Administratora ” w celu wsparcia przetwarzania uzasadnionych interesów jako podstawy prawnej zgodnie z art. Korzyści z przetwarzania danych osobowych przy użyciu Pseudonimizowanego prawnie uzasadnionego interesu jako podstawy prawnej zgodnie z RODO obejmują między innymi:
    1. zgodnie z art. 18 ust. 1 lit. d) administrator danych ma elastyczność w spełnianiu roszczeń dotyczących ograniczenia przetwarzania danych osobowych, jeśli może wykazać, że posiada środki techniczne i organizacyjne, tak aby prawa administratora danych właściwie zastępowały prawa Osoby, Której Dane Dotyczą, ponieważ prawa osób, których dane dotyczą, są chronione.
    2. zgodnie z art. 20 ust. 1 administratorom danych wykorzystującym prawnie uzasadniony interes przetwarzania nie przysługuje prawo do przenoszenia danych, które dotyczy jedynie przetwarzania opartego na zgodzie.
    3. zgodnie z art. 21 ust. 1 administrator danych korzystający z przetwarzania w uzasadnionym interesie może być w stanie wykazać, że dysponuje odpowiednimi środkami technicznymi i organizacyjnymi, tak aby prawa administratora danych były właściwie nadrzędne wobec praw Osoby, Której Dane Dotyczą, ponieważ prawa osób, których dane dotyczą, są chronione; jednak osoby, których dane dotyczą, mają zawsze prawo zgodnie z art. 21 ust. 3 do nie otrzymywania bezpośrednich działań marketingowych w wyniku takiego przetwarzania.



+