Pseudonimizacja danych osobowych nie powoduje nich usunięcia. Przechowywanie i udostępnianie danych poddanych pseudonimizacji stanowi ich przetwarzanie i musi być oparte na podstawach wynikających z RODO. Za błędne utożsamienie pseudonimizacji z anonimizacją francuski organ nadzorczy nałożył na spółkę działającą w branży medycznej karę w wysokości 800 tys. euro.
Opracowanie: Michał Kowalski
Francuski organ nadzorczy (CNIL) ustalił, że spółka Cegedim Sante udostępniała dane osobowe dotyczące stanu zdrowia klientom spółki w celu przeprowadzania badań i opracowywania statystyk w branży medycznej. Klientami tymi byli lekarze, którzy korzystali z udostępnianych danych do celów badawczych.
Z ustaleń CNIL wynikało, że udostępniane dane nie zostały poddane anonimizacji, a wiec nie utraciły statusu danych osobowych. Mimo tego dane te były przetwarzane poprzez udostępnienie lekarzom korzystającym z programu – bez podstawy prawnej. Dane te poddano jedynie pseudonimizacji, ponieważ na ich podstawie nadal możliwa była identyfikacja osób fizycznych. Lekarzom przekazywano takie dane osobowe dotyczące
roku urodzenia,
płci,
sytuacji społeczno-zawodowa,
alergii,
historii choroby,
wzrostu,
wagi,
diagnozy lekarskiej,
recept lekarskich,
zwolnień lekarskich,
wyników badań.
Dane te powiązano z unikalnym identyfikatorem dla każdego pacjenta uczęszczającego do danego lekarza. Dzięki temu możliwe było „odtworzenie” historii leczenia pacjenta i na tej podstawie – jego identyfikacja.
Spółka zaniechała anonimizacji danych, a konsekwencji udostępniła je z naruszeniem reguły legalizmu. Był to efekt błędnego utożsamienia pseudonimizacji, która jest jedynie środkiem bezpieczeństwa danych osobowych, z anonimizacją polegającą na usunięciu danych (trwałym pozbawieniu informacji waloru danych osobowych).
Przeczytaj także: Anonimizacja czy pseudonimizacja – które rozwiązanie zastosować
Dane poddane pseudonimizacji to takie dane osobowe, które można zidentyfikować przy wykorzystaniu „rozsądnych środków” (opinia Grupy Roboczej Art. 29 nr 05/2014 w sprawie technik anonimizacji z dnia 10 kwietnia 2014 r.).
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
