{"id":742,"date":"2019-11-28T11:09:15","date_gmt":"2019-11-28T10:09:15","guid":{"rendered":"https:\/\/blog.kryptos72.com\/?p=742"},"modified":"2020-09-08T08:02:07","modified_gmt":"2020-09-08T06:02:07","slug":"anonimizacja-danych-i-przypadek-taksonow-4-x-35","status":"publish","type":"post","link":"https:\/\/kryptos72.com\/blog\/anonimizacja-danych-i-przypadek-taksonow-4-x-35\/","title":{"rendered":"Anonimizacja danych i zgodno\u015b\u0107 z RODO: przypadek Takson\u00f3w 4 \u00d7 35"},"content":{"rendered":"
\n
<\/div>\n<\/div>\n

B<\/span><\/p>\n

adanie przyk\u0142adu rzuca \u015bwiat\u0142o na spos\u00f3b, w jaki agencje ochrony danych egzekwuj\u0105 wymogi RODO dotycz\u0105ce anonimizacji danych. Taksony 4 \u00d7 35 to du\u0144ska us\u0142uga<\/strong>, kt\u00f3ra pozwala u\u017cytkownikom wzywa\u0107 taks\u00f3wki w Kopenhadze za pomoc\u0105 aplikacji podobnej do Ubera. Gdy u\u017cytkownik zamawia taks\u00f3wk\u0119, system pozyskuje pewien zestaw danych, w tym: nazw\u0119 klienta, numer telefonu, dat\u0119 podr\u00f3\u017cy, czas rozpocz\u0119cia i zako\u0144czenia podr\u00f3\u017cy, liczb\u0119 przejechanych kilometr\u00f3w, p\u0142atno\u015b\u0107, wsp\u00f3\u0142rz\u0119dne GPS pocz\u0105tku i ko\u0144ca podr\u00f3\u017cy, a tak\u017ce adres pisemny i inne wsp\u00f3\u0142rz\u0119dne. Taksony 4 \u00d7 35 nast\u0119pnie \u0142\u0105cz\u0105 te dane z informacjami podatkowymi u\u017cytkownika, aby zapewni\u0107 pobranie odpowiedniej kwoty podatk\u00f3w.<\/strong><\/p>\n

W pa\u017adzierniku 2018 r. Du\u0144ska agencja ochrony danych<\/strong>, Datatilsynet , stwierdzi\u0142a, \u017ce \u200b\u200btaks\u00f3wki przechowywa\u0142y dane z prawie 9 milion\u00f3w przejazd\u00f3w taks\u00f3wek przez pi\u0119\u0107 lat, znacznie d\u0142u\u017cej ni\u017c by\u0142y potrzebne. Takie gromadzenie danych jest sprzeczne z art. 5 og\u00f3lnego rozporz\u0105dzenia o ochronie danych UE<\/strong>, kt\u00f3ry stanowi, \u017ce dane osobowe musz\u0105 by\u0107 \u201eodpowiednie i ograniczone do tego, co jest konieczne w zwi\u0105zku z celami, dla kt\u00f3rych s\u0105 przetwarzane\u201d i dalej: \u201eprzechowywane w formularzach, kt\u00f3ry pozwala na identyfikacj\u0119 os\u00f3b, kt\u00f3rych dane dotycz\u0105, na czas nie d\u0142u\u017cszy ni\u017c jest to konieczne do cel\u00f3w, dla kt\u00f3rych dane osobowe s\u0105 przetwarzane. \u201d<\/p>\n

Kierownictwo takson\u00f3w 4 \u00d7 35 uwa\u017ca\u0142o<\/strong>, \u017ce s\u0105 zwolnione z tych dw\u00f3ch sekcji art. 5, kt\u00f3re reprezentuj\u0105 zasady minimalizacji danych i ograniczenia przechowywania, poniewa\u017c anonimizuj\u0105 dane, usuwaj\u0105c nazwy zwi\u0105zane z rekordami podr\u00f3\u017cy z ich bazy danych po dw\u00f3ch latach. (Pozosta\u0142e dane zosta\u0142y nast\u0119pnie usuni\u0119te po pi\u0119ciu latach<\/strong>). Datatilsynet uzna\u0142 t\u0119 pr\u00f3b\u0119 anonimizacji danych za niewystarczaj\u0105c\u0105, wskazuj\u0105c, \u017ce nawet bez nazwy u\u017cytkownika, taksony 4 \u00d7 35 wci\u0105\u017c mia\u0142y wystarczaj\u0105c\u0105 ilo\u015b\u0107 danych osobowych, aby zidentyfikowa\u0107 osob\u0119 fizyczn\u0105. Agencja stwierdzi\u0142a, \u017ce \u200b\u200b\u201eInformacje na temat opodatkowania klienta (w tym adresy odbioru i dostawy) mo\u017cna zatem nadal przypisa\u0107 osobie fizycznej za pomoc\u0105 numeru telefonu, kt\u00f3ry jest usuwany dopiero po pi\u0119ciu latach.\u201d<\/strong><\/p>\n

\n
\n

Anonimizacja danych: Wymagania RODO<\/h2>\n<\/div>\n<\/div>\n

RODO wprowadza krytyczne r\u00f3\u017cnice mi\u0119dzy danymi osobowymi, danymi pseudonimizowanymi i danymi anonimowymi.<\/strong> Twierdzenie Takson\u00f3w 4 \u00d7 35, \u017ce anonimowe dane mog\u0105 by\u0107 wykorzystywane znacznie d\u0142u\u017cej ni\u017c dane osobowe, by\u0142o prawid\u0142owe. Zgodnie z art. 26<\/strong> \u201eZasady ochrony danych nie powinny zatem mie\u0107 zastosowania do anonimowych informacji, a mianowicie informacji, kt\u00f3re nie dotycz\u0105 zidentyfikowanej lub mo\u017cliwej do zidentyfikowania osoby fizycznej lub danych osobowych uczynionych anonimowymi w taki spos\u00f3b, \u017ce osoba, kt\u00f3rej dane dotycz\u0105, nie jest lub nie b\u0119dzie identyfikowalna. \u201d <\/strong>Ca\u0142\u0105 anonimizacj\u0119 danych mo\u017cna odnotowa\u0107 i kontrolowa\u0107 czas retencji w programie do RODO<\/a>.<\/p>\n

Taksony 4 \u00d7 35<\/strong> nie spe\u0142ni\u0142y jednak wysokiego standardu ustalonego przez RODO w zakresie anonimizacji danych. Wcze\u015bniej rt. 26 stwierdza, \u017ce \u200b\u200borganizacja musi nie tylko rozwa\u017cy\u0107, czy mo\u017ce zidentyfikowa\u0107 osob\u0119 fizyczn\u0105 na podstawie danych, kt\u00f3re posiada w swojej bazie danych, ale musi tak\u017ce wzi\u0105\u0107 pod uwag\u0119:<\/strong><\/p>\n

\n
\n
\n
\n
\n
\n

Wszystkie \u015brodki, kt\u00f3re prawdopodobnie zostan\u0105 wykorzystane, takie jak wyodr\u0119bnienie przez administratora lub inn\u0105 osob\u0119 w celu bezpo\u015bredniej lub po\u015bredniej identyfikacji osoby fizycznej. Aby ustali\u0107, czy istnieje uzasadnione prawdopodobie\u0144stwo, \u017ce \u015brodki zostan\u0105 wykorzystane do identyfikacji osoby fizycznej, nale\u017cy wzi\u0105\u0107 pod uwag\u0119 wszystkie obiektywne czynniki, takie jak koszty i ilo\u015b\u0107 czasu potrzebnego na identyfikacj\u0119, bior\u0105c pod uwag\u0119 dost\u0119pn\u0105 technologi\u0119 w momencie przetwarzanie i rozw\u00f3j technologiczny.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/header>\n<\/blockquote>\n

\"Kara-RODO-Takson-humor\"<\/p>\n

\n
\n

Prawdziwa anonimizacja danych<\/h3>\n

Poniewa\u017c stosunkowo \u0142atwo jest wyszuka\u0107 numer telefonu i dopasowa\u0107 go do konkretnej osoby, zestaw danych Taksony nie jest anonimowy.<\/strong> rekordy nie s\u0105 anonimowe, wi\u0119c nadal podlegaj\u0105 pe\u0142nej ochronie wymienionej w RODO, co oznacza, \u017ce \u200b\u200btaksony 4 \u00d7 35 powinny by\u0142y usun\u0105\u0107 dane po dw\u00f3ch latach i mie\u0107 dokumentacj\u0119 na ich potwierdzenie.<\/strong><\/p>\n

Skuteczna anonimizacja danych sk\u0142ada si\u0119 z dw\u00f3ch cz\u0119\u015bci:<\/p>\n

To jest nieodwracalne.<\/strong>
\nOdbywa si\u0119 to w taki spos\u00f3b, \u017ce niemo\u017cliwe jest (lub bardzo niepraktyczne<\/strong>) zidentyfikowanie osoby, kt\u00f3rej dane dotycz\u0105.<\/p>\n

Grupa robocza art. 29 zbada\u0142a kilka r\u00f3\u017cnych metod anonimizacji<\/strong> danych i wyja\u015bni\u0142a, jakie \u015brodki musz\u0105 podj\u0105\u0107 podmioty przetwarzaj\u0105ce dane i administratorzy danych. M\u00f3wi\u0105 w szczeg\u00f3lno\u015bci, \u017ce \u201esamo usuni\u0119cie element\u00f3w bezpo\u015brednio identyfikuj\u0105cych nie wystarczy, aby zapewni\u0107, \u017ce identyfikacja osoby, kt\u00f3rej dane dotycz\u0105, nie jest ju\u017c mo\u017cliwa.<\/strong> Cz\u0119sto konieczne b\u0119dzie podj\u0119cie dodatkowych \u015brodk\u00f3w w celu uniemo\u017cliwienia identyfikacji, ponownie w zale\u017cno\u015bci od kontekstu i cel\u00f3w przetwarzania, do kt\u00f3rego przeznaczone s\u0105 anonimowe dane. \u201d<\/p>\n

W przyk\u0142adzie Taksony 4 \u00d7 35<\/strong> uzasadnieniem dla utrzymania bazy danych przez pi\u0119\u0107 lat by\u0142 rozw\u00f3j biznesu. W takim przypadku mogliby wykona\u0107 dok\u0142adne modele tego, kiedy i gdzie potrzebowali kierowc\u00f3w i zanonimizowa\u0107 swoje dane, usuwaj\u0105c wszystkie inne dane opr\u00f3cz daty podr\u00f3\u017cy, godziny rozpocz\u0119cia i zako\u0144czenia podr\u00f3\u017cy, liczby przejechanych kilometr\u00f3w oraz wsp\u00f3\u0142rz\u0119dne GPS pocz\u0105tku i ko\u0144ca podr\u00f3\u017cy.<\/strong> Nast\u0119pnie mogliby pogrupowa\u0107 te dane wed\u0142ug dnia lub lokalizacji, a nie wed\u0142ug konta. Pozwoli\u0142oby to taksonomom zidentyfikowa\u0107 geograficzne gor\u0105ce miejsca i godziny szczytu dla kierowc\u00f3w, ale nie pozwoli\u0142oby na identyfikacj\u0119 os\u00f3b, kt\u00f3rych dane dotycz\u0105.<\/strong><\/p>\n

Wniosek<\/h3>\n

RODO ma na celu zapewnienie osobom fizycznym kontroli nad ich danymi osobowymi, a nie zapobieganie czerpaniu przez firmy i organizacje korzy\u015bci z analizy du\u017cych zbior\u00f3w danych. Dzi\u0119ki pe\u0142nemu zrozumieniu wymaga\u0144 RODO dotycz\u0105cych anonimizacji danych organizacje mog\u0105 nadal przetwarza\u0107 dane nie ryzykuj\u0105c ewentualnych kar pieni\u0119\u017cnych z RODO.<\/strong> Taksony 4 \u00d7 35 podj\u0119\u0142y bezmy\u015bln\u0105 pr\u00f3b\u0119 anonimizacji swoich danych i zostali z\u0142apani. W polskich realiach od razu przychodz\u0105 mi na my\u015bl sp\u00f3\u0142dzielnie, w kt\u00f3rych zbiorach znajdziemy jeszcze opinie sekretarza partii, odno\u015bnie przydzia\u0142u mieszkania. B\u00f3g raczy wiedzie\u0107 po co im te dane s\u0105 nadal… Pono\u0107 podstawa przetwarzani to cel archiwalny i statystyczny \ud83d\ude42<\/p>\n

Anonimizacja danych. RODO ma wiele wymaga\u0144 dotycz\u0105cych sposobu przetwarzania danych osobowych. Mo\u017ce to by\u0107 zniech\u0119caj\u0105ce, ale stworzyli\u015bmy t\u0119 stron\u0119, aby pom\u00f3c firmom w przestrzeganiu podstawowych zasad RODO. Zobacz nasz\u0105 list\u0119 kontroln\u0105 RODO i przegl\u0105d podstaw prawa, aby rozpocz\u0105\u0107. <\/strong>Z ciekawo\u015bci, mo\u017cesz dowiedzie\u0107 si\u0119 r\u00f3wnie\u017c, czy RODO ma zastosowanie do firm spoza UE.<\/a><\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

B adanie przyk\u0142adu rzuca \u015bwiat\u0142o na spos\u00f3b, w jaki agencje ochrony danych egzekwuj\u0105 wymogi RODO dotycz\u0105ce anonimizacji danych. Taksony 4 \u00d7 35 to du\u0144ska us\u0142uga, kt\u00f3ra pozwala u\u017cytkownikom wzywa\u0107 taks\u00f3wki w Kopenhadze za pomoc\u0105 aplikacji podobnej do Ubera. Gdy u\u017cytkownik zamawia taks\u00f3wk\u0119, system pozyskuje pewien zestaw danych, w tym: nazw\u0119 klienta, numer telefonu, dat\u0119 podr\u00f3\u017cy, […]<\/p>\n","protected":false},"author":1,"featured_media":828,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[52],"tags":[1226,1228,1227,1230,1225,1229],"yst_prominent_words":[1210,1408,293,268,309,298,220,1315,1314,123,1219,1217,132,1218,1216,1215,1211,1207,1316,1313],"_links":{"self":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts\/742"}],"collection":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/comments?post=742"}],"version-history":[{"count":9,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts\/742\/revisions"}],"predecessor-version":[{"id":1081,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts\/742\/revisions\/1081"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/media\/828"}],"wp:attachment":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/media?parent=742"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/categories?post=742"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/tags?post=742"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/yst_prominent_words?post=742"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}