Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



22.06.2018

Monitor z USB-C

AOC I1601FWUX
19.06.2018

Konwertowalny mikrus

HP EliteBook x360 1030 G3
15.06.2018

Druga generacja

AMD Ryzen
12.06.2018

Przejście na SDI

SUSE OpenStack Cloud 8
08.06.2018

Chmurowy firewall

Barracuda WAF-as-a-Service
05.06.2018

Kopie środowisk hybrydowych

NetVault Backup 12.0
01.06.2018

Zgodność z rodo

baramundi Management Suite 2018
28.05.2018

Dotyk dla monitorów

Nakładki interaktywne Sony
24.05.2018

Do obsługi konferencji

HP Elite Slice G2

Dane trudne, osierocone i zanieczyszczone a rodo

Data publikacji: 29-05-2018 Autor: Tomasz Cygan

Wejście w życie przepisów rodo pozwala na stosowanie zawartych w nich konstrukcji prawnych do big data. Dotyczy to zabezpieczenia danych osobowych, prowadzenia oceny ryzyka wiążącego się z ich przetwarzaniem czy też realizacji innych obowiązków określonych w rodo. Warto jednak zastanowić się, które dane typu big data to dane osobowe w rozumieniu rodo. Dotyczy to w szczególności danych trudnych (dark data), danych zanieczyszczonych (dirty data) oraz danych osieroconych (orphaned data).

Pierwsza z omawianych kategorii – dark data – oznacza takie dane, które nie są wykorzystywane z powodu trudności w ich oszacowaniu. Gartner w słowniku IT („Gartner IT Glossary”) definiuje je jako dane, które organizacje gromadzą, przetwarzają i przechowują podczas zwykłych działań biznesowych, ale na ogół nie są wykorzystywane do innych celów (tj. analiza, rozwój relacji biznesowych i bezpośrednia monetyzacja). Podobnie jak ciemna materia w fizyce skupia większość masy wszechświata, ciemne dane bardzo często stanowią większość zasobów informacyjnych organizacji. Organizacje często przechowują ciemne dane tylko w celu zapewnienia zgodności. Przechowywanie i zabezpieczanie tych danych zazwyczaj wiąże się z większym wydatkiem (i czasem większym ryzykiem) niż ich rzeczywista wartość.

 

W tej kategorii wskazać można z jednej strony dane eksploatacyjne w rozumieniu art. 18 ust. 5 ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (DzU z 2017 r., poz. 1219), czyli dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną:

 

1) oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych, o których mowa w ust. 1;
2) oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca;
3) informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną;
4) informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną.


Jednocześnie w pojęciu dark data mieścić się mogą informacje znajdujące się w rozmaitych repozytoriach, w plikach dziennika (log files), których przetwarzanie jest utrudnione lub nieopłacalne. Źródłem pozyskiwania dark data mogą być dane zbierane „na wszelki wypadek” lub przy okazji innych operacji przetwarzania. Mogą one być także pośrednim efektem stosowania środków bezpieczeństwa (np. logi systemowe często są analizowane dopiero po wystąpieniu incydentu).

Ich cechą charakterystyczną jest brak struktury, a także, zgodnie z definicją zawartą w Techopedii, nieotagowanie i niewykorzystywanie. Oznacza to, że o zaliczeniu ich do grona dark data decyduje ich nieuporządkowanie i nieprzypisanie do konkretnej osoby (kryterium podmiotowe), zbioru (kryterium przedmiotowe) czy rodzaju czynności (kryterium funkcjonalne).

W kontekście ochrony danych osobowych kluczowe znaczenie ma ocena, czy informacje stanowią w ogóle dane osobowe, a także realizacja zasady minimalizacji danych oraz obowiązków informacyjnych. Nie każda bowiem informacja o osobie fizycznej stanowi jej dane osobowe. Zgodnie z treścią art. 4 pkt 1 rodo dane osobowe stanowią informacje o osobach fizycznych zidentyfikowanych lub możliwych do zidentyfikowania. Osoba fizyczna możliwa do zidentyfikowania to osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatorów takich jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Należy przy tym mieć na względzie nie tylko obiektywną możliwość zidentyfikowania osoby fizycznej, ale także czynniki subiektywne zależne od możliwości określonego administratora. Wymienia je motyw 26 rodo:

 

  • wszelkie prawdopodobne sposoby, które mogą być wykorzystane przez administratora lub inną osobę do bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej;
  • koszt potrzebny do jej zidentyfikowania;
  • czas potrzebny do jej zidentyfikowania;
  • technologia dostępna w momencie przetwarzania danych;
  • postęp technologiczny.


W przypadku analizy dark data w kontekście rodo pomocne mogą okazać się pojęcia danych spseudonimizowanych oraz danych zanonimizowanych. Dane spseudonimizowane to takie informacje, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej (motyw 26 rodo). Stanowią one informacje o możliwej do zidentyfikowania osobie fizycznej.

Z kolei dane zanonimizowane to informacje, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, zostały zanonimizowane w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować (motyw 26 rodo). Rodo „nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych” (motyw 26 rodo).

[...]

Adwokat, absolwent studiów doktoranckich na Wydziale Prawa i Administracji Uniwersytetu Śląskiego w Katowicach. Doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, ochrony własności intelektualnej, prawa autorskiego, ochrony marki przedsiębiorcy oraz tajemnic związanych z prowadzeniem działalności gospodarczej.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"