Anonimizacja danych osobowych
Do wpisu zainspirował mnie mem, poprzez który autor zastanawiał się, jak wyglądałoby zdjęcie ślimaka w prasie, gdyby trafił do więzienia. Intuicyjnie chcielibyśmy zasłonić mu górną część twarzy, ale jego oczy znajdują się przecież o wiele wyżej. Tylko czy zakrycie oczu znajdujących się na szczycie czułek ma sens, jeśli cała „twarz” jest poniżej? Sytuacja w zasadzie jest patowa, bo każde z rozwiązań jest nieskuteczne. Właśnie tak bardzo często wygląda anonimizacja w praktyce, która zaczyna i kończy się na dobrych chęciach. Efekt pracy pozostaje jednak nieskuteczny.
W tym wpisie postaram się wytłumaczyć na czym polega anonimizacja, a także pokazać, jak skutecznie ją wykonać. Skupię się na dwóch aspektach anonimizacji: obróbce graficznej oraz analizie tekstu. Anonimizacja to takie działanie, które doprowadza do skutecznego i nieodwracalnego uniemożliwienia zidentyfikowania osoby fizycznej. Oznacza to, że raz wykonana anonimizacja usuwa wszelkie dane osobowe z dokumentu, pliku lub systemu. Nie można później już tych danych w żaden sposób odzyskać lub powiązać z osobą fizyczną.
W dzisiejszych czasach anonimizacja jest coraz większym wyzwaniem ze względu na postęp techniczny. Kilka przypadkowych informacji wyłowionych z tekstu i wrzuconych w wyszukiwarkę, może pozwolić zidentyfikować jednoznacznie konkretną osobę. Doświadczyłam tego wiele lat temu na własnej skórze, gdy nowo poznanej osobie powiedziałam, że mam na imię Sylwia, organizacja, w której pracuję mieści się w Pałacu Kultury i Nauki i prowadzę szkolenia z ochrony danych osobowych. Mój rozmówca wyjął telefon i po minucie odnalazł mnie w Internecie. Nie prowadziłam wtedy bloga, nie byłam rozpoznawalna, nie było zbyt wielu moich zdjęć w Internecie. A jednak zostałam bardzo szybko odnaleziona. Wtedy zrozumiałam, co oznacza „pośrednia identyfikacja” oraz jak trudno jest być dzisiaj anonimowym.
Ten przydługi wstęp ma Ci uświadomić, że skuteczna anonimizacja tekstu wymaga usunięcia nie tylko tych informacji, które pozwalają na bezpośrednią identyfikację (imię, nazwisko, adres, PESEL, e-mail, firma, stanowisko, itp.), ale także tych, które w sposób pośredni mogą ją umożliwić. O wiele trudniej wskazać katalog informacji, umożliwiających pośrednią identyfikację. Oznacza to, że anonimizacja tekstu wymaga jego dokładnego przeczytania oraz analizy. Należy usunąć wszelkie identyfikatory oraz specyficzne informacje, które mogą prowadzić do odnalezienia takiej osoby. Czasami wskazanie samego rodzaju prowadzonej przez tę osobę działalności oraz miasta tej działalności, może wystarczyć. Szczególnie gdy jest to mała miejscowość lub działalność jest specyficzna.
Odrębną kwestią jest anonimizacja plików, zdjęć, danych w systemach. W przypadku zdjęć, zasadne jest rozmazanie całej twarzy, nie tylko zakrycie oczu, ale także wszelkich cech szczególnych (pieprzyki, tatuaże, blizny) oraz małżowiny usznej. Wiem, 99,99% ludzi nie jest w stanie na podstawie danej biometrycznej, jaką jest kształt małżowiny, dokonać idnetyfikacji, ale technika idzie do przodu, i już za chwillę może to być możliwe.
Bardzo często błędy są popełniane także przy fizycznym anonimizowaniu dokumentu. W przypadku dokumentów papierowych zamazanie tekstu markerem lub korektorem nie przyniesie rezultatu – nadal można tekst odczytać pod światło lub z drugiej strony. Chyba że wcześniej zostanie z dokumentu zrobiona kopia i to na niej zostaną dokonane zamazania. Wówczas faktycznie ta metoda będzie skuteczna.
Jeszcze ciekawej jest przy obróbce graficznej zdjęć lub dokumentów. Jeżeli zamazujesz czarnymi prostokątami tekst bezpośrednio w pliku, to musisz wiedzieć, że ten plik bez problemu pozwala na odczytanie tego co zamazałeś. W zależności od rodzaju pliku będzie to możliwe poprzez zdjęcie warstwy (usunięcie prostokącików) lub przez odczytanie pierwotnej treści pliku z metadanych tego pliku. Zastanów się, ile razy robiłeś kopię dowodu osobistego, zamazywałeś w niej newralgiczne dane (np. wykorzystując program paint) i tak zmodyfikowany plik przesyłałeś dalej. Cóż, odbiorca bez problemu (o ile ma odrobinę wiedzy) może odzyskać pierwotne zdjęcie dowodu. Dlatego po dokonaniu modyfikacji, należy wyciąć obrazek/obszar i wkleić do zupełnie nowego pliku. Taki, zupełnie nowy plik nie będzie zawierał w swoich metadanych pierwotnej wersji obrazka/pliku. Nie będzie możliwe także zdjęcie warstwy z prostokącikami.
Jeżeli do końca nie rozumiesz o co chodzi, przeczytaj ten tekst w serwisie Niebezpiecznik: https://niebezpiecznik.pl/post/anonimizacja-przez-obrazkowanie-i-nr-dowodu-jako-haslo-wpadki-uczelni-cz-vii/
A tutaj więcej informacji o co chodzi z metadanymi zdjęć: https://niebezpiecznik.pl/post/zanim-wgrasz-wakacyjne-zdjecia-do-sieci/
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.
