Anonimizacja danych osobowych w szkole – jak ją przeprowadzić

Agnieszka Kręcisz-Sarna
Data publikacji: 8 lipca 2021 r.
Poleć znajomemu
Anonimizacja danych osobowych w szkole – jak ją przeprowadzić

Gdy kończy się okres, w którym szkoła mogła przechowywać dane osobowe, wówczas konieczne jest ich usunięcie. Przejawem usuwania danych osobowych jest zaś anonimizacja.

Czym jest anonimizacja danych

Anonimizacja danych to przetwarzanie danych w taki sposób, aby nie istniała już możliwość wykorzystania ich do zidentyfikowania osoby fizycznej za pomocą „wszystkich sposobów, jakimi może posłużyć się” administrator danych lub osoba trzecia. Innymi słowy, anonimizacja oznacza przetwarzanie danych osobowych w celu osiągnięcia ich anonimowości. W konsekwencji zanonimizowane dane nie są danymi osobowymi, ponieważ nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Anonimizacja ma charakter nieodwracalny. Dane osobowe są bowiem przetwarzane w celu nieodwracalnego uniemożliwienia zidentyfikowania osoby, której dane dotyczą.

Anonimizacja to takie przetwarzanie danych osobowych, które prowadzi do nieodwracalnego uniemożliwienia zidentyfikowania osoby, której dane dotyczą, na skutek usunięcia danych i wszelkich powiązań między danymi osobowymi a osobami, których dane dotyczą.

Należy wybrać technikę anonimizacji

Anonimizacja jest techniką stosowaną do danych osobowych w celu uzyskania nieodwracalnej anonimizacji. Z przywołanej powyżej opinii nr 05/2014 z 10 kwietnia 2014 r. w sprawie technik anonimizacji wynika, że wdrażając proces anonimizacji danych, należy mieć na uwadze, iż:

  • dane osobowe powinny być przetwarzane w celu nieodwracalnego uniemożliwienia zidentyfikowania osoby, której dane dotyczą;

  • możliwe jest stosowanie wielu technik anonimizacji;

  • dokonując anonimizacji, należy uwzględnić wszystkie sposoby, jakimi może posłużyć się administrator danych i osoby trzecie w celu przeprowadzenia identyfikacji;

  • wybierając metodę anonimizacji, należy uwzględnić ryzyko potencjalnego zidentyfikowania zanonimizowanych danych, w tym wagę i prawdopodobieństwo jego wystąpienia.

RODO nie wskazuje, w jaki sposób należy przeprowadzić proces anonimizacji ani jakimi kryteriami należy się kierować przy wyborze metody anonimizacji. Decyzja w tym zakresie została pozostawiona administratorowi danych.

Pomocne wskazówki sformułowała Grupa Robocza Art. 29, która wskazała, że wybór odpowiedniej metody anonimizacji powinien być poprzedzony oceną tej metody na bazie trzech kryteriów:

  • czy nadal możliwe jest wyodrębnienie konkretnej osoby fizycznej;

  • czy nadal możliwe jest powiązanie zapisów dotyczących konkretnej osoby fizycznej; oraz

  • czy można wywnioskować informacje w odniesieniu do konkretnej osoby fizycznej.

Wobec tego dokonując wyboru metody anonimizacji, mając na uwadze aktualny stan technologii, należy uwzględnić trzy czynniki ryzyka.

Wyodrębnienie

możliwość wydzielenia niektórych lub wszystkich zapisów identyfikujących określoną osobę fizyczną w zbiorze danych

Możliwość tworzenia powiązań

zdolność do powiązania co najmniej dwóch zapisów dotyczących jednej osoby lub grupy osób, których dane dotyczą (w tej samej bazie danych lub w dwóch różnych bazach danych)

wnioskowanie

możliwość wydedukowania ze znacznym prawdopodobieństwem wartości danego atrybutu z wartości zbioru innych atrybutów

Techniki anonimizacji według Grupy Roboczej Art. 29

W ramach wskazanych kryteriów i rodzajów ryzyka Grupa Robocza Art. 29 wyróżniła kilka typów technik anonimizacji. Techniki anonimizacji danych zasadniczo opierają się na dwóch metodach, tj. na randomizacji (która oznacza zmianę prawdziwości danych w celu wyeliminowania ścisłego związku między danymi a konkretną osobą fizyczną) i na uogólnianiu (tzn. generalizowaniu lub osłabianiu cech osób, których dane dotyczą, poprzez modyfikowanie odpowiedniego zakresu lub rzędu wielkości). Wybór odpowiedniej techniki anonimizacji wymaga ustalenia celów procesu anonimizacji oraz rozważenia ograniczeń, które wiążą się ze stosowaniem konkretnej techniki.

Randomizacja obejmuje kilka technik anonimizacji danych, które polegają na zmianie prawdziwości danych w celu wyeliminowania ścisłego związku między danymi a konkretną osobą fizyczną.

Czym jest randomizacja

Zmiana prawdziwości danych skutkuje niepewnością danych, tzn. nie można ich już odnieść do określonej osoby fizycznej. Randomizacja nie jest jednakże metodą stuprocentowo skuteczną, dane dalej odnoszą się bowiem do jednej osoby, istnieje więc ryzyko wnioskowania. W związku z tym w zależności od okoliczności wymagane może być stosowanie dodatkowych technik, tj.:

  • dodawanie zakłóceń, które polega na modyfikowaniu atrybutów w zbiorze danych w taki sposób, aby były one mniej dokładne, przy jednoczesnym zachowaniu ogólnej dystrybucji;

  • permutacja, która polega na tasowaniu wartości atrybutów w tabeli, tak aby niektóre z nich były sztucznie powiązane z różnymi osobami, których dane dotyczą;

  • prywatność różnicowa, która jest stosowana, gdy administrator danych generuje zanonimizowane widoki zbioru danych, jednocześnie zachowując kopie danych pierwotnych.

W opinii nr 05/2014 z 10 kwietnia 2014 r. w sprawie technik anonimizacji Grupa Robocza Art. 29 wskazała przykłady stosowania tych dodatkowych technik anonimizacji, ich zalety i wady, a także najczęściej popełniane błędy.

Technika dodawania zakłóceń:

Zalety:
  • użyteczna, gdy atrybuty mogą mieć istotny niekorzystny skutek dla poszczególnych osób fizycznych.
Wady:
  • nadal możliwe jest wyodrębnienie i powiązanie zapisów konkretnej osoby, chociaż zapisy są mniej wiarygodne;
  • dla swej skuteczności wymaga połączenia z innymi technikami anonimizacji, tj. usunięcie oczywistych atrybutów i quasi­identyfikatorów.
Najczęściej popełniane błędy:
  • niedostosowanie poziomu zakłóceń do wymaganego poziomu informacji i wpływu ujawnienia chronionych atrybutów na prywatność poszczególnych osób fizycznych;
  • dodawanie niespójnych zakłóceń;
  • założenie, że dodawanie zakłóceń stanowi samodzielne rozwiązanie umożliwiające anonimizację (chyba że liczba zakłóceń przewyższa ilość informacji zawartych w zbiorze danych).

Druga kategoria - uogólnianie

Drugim rodzajem technik anonimizacji jest uogólnianie. Podstawową zaletą tej grupy technik jest skuteczne uniemożliwienie wyodrębniania, choć nie w każdym przypadku. Uogólnianie obejmuje takie techniki, jak:

  • agregacja i k­anonimizacja, które mają na celu uniemożliwienie wyodrębnienia osoby, której dane dotyczą, poprzez zgrupowanie tych osób z co najmniej K innymi osobami fizycznymi;

  • l­dywersyfikacja to rozszerzenie metody k-anonimizacji, ma ona na celu uniemożliwienie wyodrębnienia osoby, której dane dotyczą, poprzez przyjęcie, że dla każdej grupy wartości powinno występować co najmniej L różnych wartości;

  • t­bliskość stanowi udoskonalenie l-dywersyfikacji, ma ona na celu utworzenie równoważnych klas, które odzwierciedlają początkową dystrybucję atrybutów w tabeli.

Agnieszka Kręcisz-Sarna
Narzędzia

Nagrody i wyróżnienia

Sprawdź inne serwisy

Epedagogika Poradnik Dyrektora Szkoły Strefa logopedy Kwadrans dla dyrektora szkoły Zarządzanie przedszkolem kadry i finanse resql

Portal Oświatowy Copyright © 2021 Wszelkie prawa zastrzeżone | Właściciel Portalu: Wiedza i Praktyka Sp. z o.o. Wydawnictwo Wiedza i Praktyka