Jak anonimizować dane przed publikacją

Jak anonimizować dane przed publikacją.

Jak anonimizować dane przed publikacją oto pytanie, które powinni sobie zadać praktycznie wszyscy w trosce o bezpieczeństwo danych oraz własne. Jestem użytkownikiem FB, jak wielu z Państwa. Aktywnie uczestniczę w licznych grupach dyskusyjnych, forach. Udzielam się publikuję teksty, ale także czytam, analizuję, obserwuję i wyciągam wnioski.

Skany dokumentów księgowych

W grupach dyskusyjnych poświęconych zagadnieniom księgowym bez problemu znalazłem liczne zdjęcia oraz skany dokumentów będących deklaracjami, fakturami, wezwaniami do zapłaty, które pojawiły się w sieci, po to aby inni użytkownicy np. zweryfikowali ich poprawność. Zastosowane środki anonimizacji okazały się całkowicie bezskuteczne. Podciągnięcie jasności i kontrastu na monitorze pozwalało bez problemu na odczytanie tego co kryje się np. pod kartką która miałą zasłaniać wpisy na dokumencie.

W ten sposób możliwe było odczytanie danych:

sprzedającego i osób działających w jego imieniu,
zamawiającego i osób działających w jego imieniu,
dotyczących rodzaju zamawianego towaru / usługi,
odnoszących się do warunków płatności / wysokości zadłużenia itd.

Gdybym był producentem mebli szukającym nowego kontrahenta z terenu Niemiec, pewnie informacje, jakie zawarte były na tych dokumentach mogłyby mi pomóc.

Zdjęcia dokumentacji medycznej konkretnych pacjentów

Niestety jednak znalazłem także zdjęcia dokumentacji medycznej należące do konkretnych przecież pacjentów. Co prawda ich były zamazane w programie graficznym, albo markerem. Jednak otwarcie takiego pliku ze zdjęciem w darmowej aplikacji graficznej i wykonanie kilku prostych czynności sprawiło że informacje zamazane stawały się najczęściej czytelne.

Zestawienie czytelnych i odczytanych informacji pozwalało na poznanie danych:

imię i nazwisko pacjenta,
imię i nazwisko lekarza, który wystawił zaświadczenie,
dane podmiotu wykonującego działalność leczniczą,
data udzielonego świadczenia medycznego,
rozpoznanie, zalecenia itd.

Chcąc sprawdzić, czy aby to nie jest przysłowiowy żart wpisałem w wyszukiwarce internetowej imię i nazwisko jednego z pacjentów (odczytane jak opisałem wyżej) wraz informacją, jaką publikujący zdjęcie ujawnił wprost na zdjęciu z opisem zalecenia lekarskiego. W opisie wskazana została konkretna grupa zawodowa pracowników. Następnie dane te uzupełniłem o nazwę miejscowości, w której działał PWDL. Wynik wyszukiwania doprowadził mnie do osoby, o takim samym imieniu i nazwisku. Wyszukiwarka podała miejsce zatrudnienia tej konkretnej osoby, które zbieżne było z miejscem siedziby PWDL. Wyszukiwarka podała także miejsce pracy, które również odpowiadało nazwie zawodu, jaka wskazana została na zamieszczonym na FB dokumencie.

Proste to RODO Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.

Proste to RODO Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Informacje anonimowe nie podlegają RODO

Zasady ochrony danych nie mają zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować.

Proste to RODO Jak anonimizować dane przed publikacją. Bez wątpienia sposóby anonimizacji polegające na zamazaniu markerem danych, ich zasłonięciu kartką, są niewystarczające, przez co dane tak ukryte nie mogą być traktowane, jako anonimowe, jako dane względem których ADO publikujący, lub pracownik ADO je publikujący, zwolniony byłby z obowiązku stosowania zasad ochrony danych osobowych.

Autor: mgr Dominik Spałek

Kontakt: tel. 694 494 240
Email: biuro@prostetorodo.pl

Wybierz interesujący tematycznie dział Sklepu RODO

Dokumentacja RODO
dla podmiotów medycznych

Wejdź do sklepu >>>

Dokumentacja RODO
dla podmiotów oświatowych

Wejdź do sklepu >>>

Dokumentacja RODO
dla firm i przedsiębiorstw

Wejdź do sklepu >>>

Stanowiska IOD
Zalecenia i sanowiska

Wejdź do sklepu >>>

Oferta
usług informatycznych

Wejdź do sklepu >>>

Oferta
niszczarki do dokumentów

Wejdź do sklepu >>>

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie