Jakie zabezpieczenie wybrać? Szyfrowanie czy pseudonimizacja?
27 gru 2019
RODO uznaje, że szyfrowanie (motyw 83 RODO) i pseudonimizacja (motyw 28 RODO) to środki minimalizujące ryzyko naruszenia praw i wolności osób, których dane dotyczą. Rodzi się pytanie, czy zawsze należy je stosować, czy też któryś z nich?
RODO odwołuje się do pseudonimizacji piętnaście razy (10-krotnie w motywach i 6-krotnie w poszczególnych przepisach). Natomiast szyfrowanie przywołane jest czterokrotnie (raz w motywach i 3-krotnie w poszczególnych przepisach). Wynikałoby z tego, że dla ustawodawcy unijnego najlepszą techniką zabezpieczania danych jest pseudonimizacja, co jest myśleniem błędnym. Nie można zapominać, iż na gruncie RODO oceniana jest odpowiedniość (adekwatność) zastosowanych środków ochrony danych do ryzyka naruszenia praw i wolności osób, których dane są przetwarzane, na tle konkretnej operacji przetwarzania danych. Każdy ze wskazanych powyżej środków ma inny zakres zastosowania.
Otóż, pseudonimizacja wpisuje się w zasadę minimalizacji. Środek ten może być zastosowany do ograniczenia ilości informacji o osobie fizycznej „przetwarzanych” przez firmę w celach biznesowych i innych, a tym samym jest przydatny do ograniczania uprawnionego dostępu (stopniowanie dostępu). Z kolei szyfrowanie chroni dane przed dostępem osób nieuprawnionych. Jest to dostęp na zasadzie wszystko albo nic.
Może również tak się zdarzyć, że zastosowane innych środków ochrony danych będzie wystarczające. Wówczas zgodnie z zasadą rozliczalności powinniśmy się wytłumaczyć z tego, dlaczego ich nie zastosowaliśmy, tj. pseudonimizacji i szyfrowania.