„Nadmiarowe” dane osobowe

  • 30.04.2018

  • Autor: Grzegorz Bernatek

  • analizy

Artykuł - Nadmiarowe dane osobowe - Grzegorz Bernatek

W RODO znacznie szerzej niż w dotychczasowej praktyce zostały zdefiniowane dane osobowe – są to zgodnie z art. 4 ust. 1 RODO: informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Niektóre dane staną się więc od 25 maja „danymi nadmiarowymi”, a organizacja, jako administrator danych, będzie musiała się ich pozbyć (np. poprzez ich usunięcie). Dotyczy to przykładowo:

  • Danych osobowych, na których przetwarzanie firma nie ma odpowiednich, wyrażonych w sposób ważny zgód, a zgoda właśnie stanowi podstawę ich przetwarzania;
  • Danych osobowych, które nie spełniają zasady adekwatności (zakres przetwarzanych danych osobowych powinien być niezbędny i możliwie ograniczony ze względu na cele przetwarzania);
  • Nowych kategorii danych osobowych wprowadzanych przez RODO (np. numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub zbiór kilku czynników jednoznacznie identyfikujących tożsamość osoby fizycznej);
  • Danych osobowych, dla których podmioty danych cofnęły zgodę na przetwarzanie lub ograniczyli zakres przetwarzania;
  • Danych, które samoistnie nie stanowią danych osobowych, ale w powiązaniu z innymi danymi (np. ogólnie dostępnymi) pozwalają na powiązanie z konkretną osobą fizyczną.

Kwestia danych nadmiarowych jest jednym ze słabiej zaadresowanych problemów u klientów – nawet w dużych organizacjach istnieje zagrożenie wykasowania wartościowych biznesowo danych, służących przykładowo do planowania działań marketingowych. Taki problem może być szczególnie dotkliwy dla firm z branży e-commerce, czy też szeroko pojętych usług finansowych.

Utrzymanie maksimum dozwolonej prawem zawartości informacyjnej jest możliwe. Rozwiązaniem są tutaj meta-modele danych oraz przetworzenie danych źródłowych, a także zastosowanie środków takich jak:

  • Anonimizacja (w tym randomizacja lub uogólnienie danych – np. agregacja);
  • Pseudonimizacja;
  • Tworzenie modeli reprezentatywnych do modelowania zachowania klientów na bazie osób, dla których uzyskano zgody na przetwarzanie danych (w niezbędnym dla celu analiz zakresie);
  • Tworzenie modeli uniwersalnych, które pozwolą na analizowanie zachowania klientów na bazie dotychczasowego oraz docelowego zbioru danych osobowych.

Celem powyższych działań jest zachowanie, a nawet zwiększenie wartości informacyjnej obecnych danych, np. na potrzeby istniejących i przyszłych modeli analitycznych. W szczególności dotyczy to „danych nadmiarowych”, których przetwarzanie po wejściu RODO będzie się wiązało z dużym ryzykiem.

Autor

Grzegorz Bernatek

Absolwent Wydziału Elektroniki i Technik Informacyjnych (kierunek: Telekomunikacja) Politechniki Warszawskiej, oraz studiów podyplomowych w Szkole Głównej Handlowej (kierunek: Studia Menedżersko-Finansowe).

Od roku 2004 kieruje projektami badawczymi dotyczącymi polskiego i europejskiego rynku telekomunikacyjnego, tworzenia modeli rynkowych i systemowych oraz prowadzi doradztwo i szkolenia dla klientów Audytela. Współautor badań i raportów dotyczących m.in. zagadnień bezpieczeństwa teleinformatycznego, outsourcingu oraz wykorzystania przetwarzania w chmurze w dużych polskich firmach. Wcześniej pracował jako audytor systemów teleinformatycznych w Audytelu oraz analityk/programista w Mc-Kinsey & Company. Ma doświadczenie w zakresie audytów w obszarze bezpieczeństwa ICT, ochrony i zabezpieczenia danych osobowych w systemach IT oraz zapewnienia ciągłości działania.

Certyfikowany audytor systemów informacyjnych (CISA) oraz kierownik projektów (Prince2).