Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



06.12.2018

Niższe moce

UPS Eaton 9SX
03.12.2018

Monitory dla MŚP

AOC E1
29.11.2018

Wykrycie szkodliwego...

Sophos Intercept X Advanced
27.11.2018

Automatyzacja zabezpieczeń

Red Hat Ansible Automation
23.11.2018

Nieograniczona skalowalność

SUSE Enterprise Storage 5.5
20.11.2018

Dwa procesory Threadripper

AMD Ryzen Threadripper 2970WX i 2920X
16.11.2018

Dla biznesu i edukacji

Optoma 330USTN
13.11.2018

Superszybki dysk SSD

Patriot Evolver
09.11.2018

Ograniczenie kosztów

Canon imageRUNNER ADVANCE 525/615/715

Dane trudne, osierocone i zanieczyszczone a rodo

Data publikacji: 29-05-2018 Autor: Tomasz Cygan

Wejście w życie przepisów rodo pozwala na stosowanie zawartych w nich konstrukcji prawnych do big data. Dotyczy to zabezpieczenia danych osobowych, prowadzenia oceny ryzyka wiążącego się z ich przetwarzaniem czy też realizacji innych obowiązków określonych w rodo. Warto jednak zastanowić się, które dane typu big data to dane osobowe w rozumieniu rodo. Dotyczy to w szczególności danych trudnych (dark data), danych zanieczyszczonych (dirty data) oraz danych osieroconych (orphaned data).

Pierwsza z omawianych kategorii – dark data – oznacza takie dane, które nie są wykorzystywane z powodu trudności w ich oszacowaniu. Gartner w słowniku IT („Gartner IT Glossary”) definiuje je jako dane, które organizacje gromadzą, przetwarzają i przechowują podczas zwykłych działań biznesowych, ale na ogół nie są wykorzystywane do innych celów (tj. analiza, rozwój relacji biznesowych i bezpośrednia monetyzacja). Podobnie jak ciemna materia w fizyce skupia większość masy wszechświata, ciemne dane bardzo często stanowią większość zasobów informacyjnych organizacji. Organizacje często przechowują ciemne dane tylko w celu zapewnienia zgodności. Przechowywanie i zabezpieczanie tych danych zazwyczaj wiąże się z większym wydatkiem (i czasem większym ryzykiem) niż ich rzeczywista wartość.

 

W tej kategorii wskazać można z jednej strony dane eksploatacyjne w rozumieniu art. 18 ust. 5 ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (DzU z 2017 r., poz. 1219), czyli dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną:

 

1) oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych, o których mowa w ust. 1;
2) oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca;
3) informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną;
4) informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną.


Jednocześnie w pojęciu dark data mieścić się mogą informacje znajdujące się w rozmaitych repozytoriach, w plikach dziennika (log files), których przetwarzanie jest utrudnione lub nieopłacalne. Źródłem pozyskiwania dark data mogą być dane zbierane „na wszelki wypadek” lub przy okazji innych operacji przetwarzania. Mogą one być także pośrednim efektem stosowania środków bezpieczeństwa (np. logi systemowe często są analizowane dopiero po wystąpieniu incydentu).

Ich cechą charakterystyczną jest brak struktury, a także, zgodnie z definicją zawartą w Techopedii, nieotagowanie i niewykorzystywanie. Oznacza to, że o zaliczeniu ich do grona dark data decyduje ich nieuporządkowanie i nieprzypisanie do konkretnej osoby (kryterium podmiotowe), zbioru (kryterium przedmiotowe) czy rodzaju czynności (kryterium funkcjonalne).

W kontekście ochrony danych osobowych kluczowe znaczenie ma ocena, czy informacje stanowią w ogóle dane osobowe, a także realizacja zasady minimalizacji danych oraz obowiązków informacyjnych. Nie każda bowiem informacja o osobie fizycznej stanowi jej dane osobowe. Zgodnie z treścią art. 4 pkt 1 rodo dane osobowe stanowią informacje o osobach fizycznych zidentyfikowanych lub możliwych do zidentyfikowania. Osoba fizyczna możliwa do zidentyfikowania to osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatorów takich jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Należy przy tym mieć na względzie nie tylko obiektywną możliwość zidentyfikowania osoby fizycznej, ale także czynniki subiektywne zależne od możliwości określonego administratora. Wymienia je motyw 26 rodo:

 

  • wszelkie prawdopodobne sposoby, które mogą być wykorzystane przez administratora lub inną osobę do bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej;
  • koszt potrzebny do jej zidentyfikowania;
  • czas potrzebny do jej zidentyfikowania;
  • technologia dostępna w momencie przetwarzania danych;
  • postęp technologiczny.


W przypadku analizy dark data w kontekście rodo pomocne mogą okazać się pojęcia danych spseudonimizowanych oraz danych zanonimizowanych. Dane spseudonimizowane to takie informacje, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej (motyw 26 rodo). Stanowią one informacje o możliwej do zidentyfikowania osobie fizycznej.

Z kolei dane zanonimizowane to informacje, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, zostały zanonimizowane w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować (motyw 26 rodo). Rodo „nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych” (motyw 26 rodo).

[...]

Adwokat, absolwent studiów doktoranckich na Wydziale Prawa i Administracji Uniwersytetu Śląskiego w Katowicach. Doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, ochrony własności intelektualnej, prawa autorskiego, ochrony marki przedsiębiorcy oraz tajemnic związanych z prowadzeniem działalności gospodarczej.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"