Logo
Ochrona danych
20 Cze 2016

Ochrona danych

Post by admin

RODO nakłada na administratora danych osobowych restrykcyjne ograniczenia w zakresie ich przetwarzania i przekazywania danych innym podmiotom. W wielu sytuacjach pomogą metody ich anonimizacji lub pseudonimizacji.

– Rozpatrzmy przykład banku, który posiada różnego rodzaju bazy, w których gromadzi informacje o klientach. W procesie modernizacji swoich aplikacji, bank tworzy kopie środowiska produkcyjnego do celów deweloperskich lub testowych. W środowiskach tych znajdują się kopie danych wraz z odpowiednimi relacjami, niezbędne do prawidłowego testowania aplikacji. Niestety, w trakcie prac do tych danych mogą mieć dostęp deweloperzy lub pracownicy firm konsultingowych, a więc osoby nierzadko spoza banku. Konieczne jest więc ukrycie danych, żeby nie były czytelne dla osób postronnych – tłumaczy Łukasz Durkalec, dyrektor ds. technicznych w Advatech. – Wówczas właśnie jest miejsce na pseudonimizację lub nawet anonimizajca danych. Innym przykładem może być eksport danych do celów analitycznych lub statystycznych.

Ważne jednak, by mieć na uwadze, że nawet spseudonimizowane dane, nadal są danymi osobowymi, a to ze względu na to, że po zastosowaniu wobec nich odpowiedniego klucza nadal można za ich pomocą zidentyfikować konkretną osobę. Firmy, gromadzące takie dane, będą więc zobowiązane na przykład do tego, żeby i je, i klucz, który ich dotyczy, przechowywać oddzielnie. Może to również nawet dotyczyć (oczywiście w niektórych przypadkach, np. dużych firm takich, jak banki, firmy ubezpieczenowe, telekomy) serwerów czy macierzy. Czyniąc niezbędne inwestycje w tym zakresie warto rozważyć rozwiązania oferowane przez IBM Polska i wdrażane przez Advatech.

Pseudonimizacja może być jednak wygodnym sposobem na zabezpieczenie wrażliwych danych, ponieważ w odniesieniu do informacji zapisanych w ten sposób, znacznie złagodzone będą wymogi dotyczące ich ochrony. Przy tej okazji warto również wspomnieć, że dane można poddać także anonimizacji, po której nie muszą być już chronione zgodnie z zapisami RODO, ponieważ nie da się już przypisać ich do konkretnych osób.

Jak więc można przeprowadzić pseudonimizację albo anonimizację danych osobowych? – Znanych jest szereg technik, zaczynając od szyfrowania, przez tokenizację, aż po całkowite maskowanie (kasowanie) informacji. W zależności od celu modyfikacji, wynik powinien być użyteczny dla algorytmów przetwarzających. Oznacza to w praktyce możliwość zbudowania pełnego profilu pseudonimu użytkownika, lub wręcz całkowite pozbycie się danych personalnych ze zbioru – tłumaczy Łukasz Durkalec. – Trzeba jednak pamiętać, że nie jest to metoda, która chroni dane wrażliwe przed niespodziewanym atakiem, ale zabezpiecza je podczas przesuwania z jednego obszaru do innego. Ogranicza przy tym krąg ludzi, którzy mają bezpośredni dostęp do tego typu informacji. To ważne o tyle, że niezwykle często dane, które zostają nielegalnie wykradzione, biorą się nie z systemów produkcyjnych, które są bardzo dobrze chronione, ale z testowych, deweloperskich czy archiwizacyjnych właśnie.

0 Comments

Leave a Comment