RODO – anonimizacja czy pseudonimiazacja danych osobowych
25 maja 2018 roku zaczęło obowiązywać w Polsce unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych, które lepiej jest znane jako RODO. Wejście w życie nowych przepisów oznacza dla wielu przedsiębiorców konieczność wprowadzenia istotnych zmian w prowadzonej polityce przetwarzania danych osobowych klientów i kontrahentów.
Czy będzie to miało wpływ na wykorzystywane w firmach oprogramowanie? Czy wymagane będą zmiany w systemach CRM? Odpowiedź jest prosta – zarówno dotychczas używane systemy, jak i te wdrażane w przyszłości będą musiały być dostosowane do wymogów nowego prawa.
Co to jest „prawo do bycia zapomnianym”?
Wprowadzone przepisy gwarantują klientom „prawo do bycia zapomnianym”. W praktyce oznacza to zapewnienie możliwości zgłoszenia wniosku o usunięcie danych osobowych ze wszystkich baz danych funkcjonujących w firmie.
Przedsiębiorca, który otrzyma taki wniosek ma dwie możliwości. Może usunąć całość informacji pozwalających na identyfikację klienta ze wszystkich nośników. Ale może również dokonać anonimizacji danych.
Anonimizacja
Anonimizacja to operacja polegająca na zmianie danych osobowych w taki sposób, aby nie było możliwe ich połączenie z konkretnym klientem. Jest to operacja nieodwracalna. Raz zanonimizowanych danych nie można odzyskać. Dzięki temu jest to działanie zgodne z rygorystycznymi wymogami RODO.
Należy jednak pamiętać, że zanonimizowaniu podlegają wszystkie dane klienta. Oznacza to, że w przypadku wielokanałowej komunikacji z klientami, zmiana operacja ta musi dotyczyć wszystkich wykorzystywanych systemów. W przypadku systemu CRM integrującego wszystkie systemy i aplikacje zawierające dane osobowe operacja jest niezbyt skomplikowana. Jednak w przypadku braku integracji zadanie może okazać się trudne do wykonania i dodatkowo bardzo czasochłonne.
Pseudonimizacja
Anonimizacja nader często bywa mylona z pseudonimizacją. Niestety jest to błąd, który może okazać się bardzo kosztowny. Pseudonimizacja danych w systemie CRM nie jest bowiem wypełnieniem wynikającego z RODO obowiązku i naraża przedsiębiorcę na bardzo wysokie kary. Dlaczego?
Przede wszystkim dlatego, że psudonimizacja jest procesem odwracalnym, który polega na szyfrowaniu danych przy pomocy określonego klucza. Oznacza to, że dane poddane tej operacji można łatwo przywrócić przy pomocy dodatkowych informacji przechowywanych poza systemem CRM. W rezultacie możliwa jest identyfikacja klientów, których dane powinny nie być dostępne.
Jakie kary za brak zgodności z RODO?
Na koniec warto przypomnieć o wysokości kar, na jakie narażone są firmy w związku z wejściem w życie RODO. Kary są bardzo wysokie i mogą wynosić 20 milionów euro lub 4 procent rocznego obrotu firmy. Co ciekawe – chodzi o globalne obroty, a nie te uzyskiwane w Polsce.
To oczywiście kary maksymalne . Jakie będą ich faktyczne wysokości – pokaże najbliższa przyszłość. Ale na pewno tańszym rozwiązaniem jest dostosowanie polityki ochrony danych osobowych do obowiązującego prawa.