Spis treści:
- Nowe ramy bezpieczeństwa cyfrowego w UE
- Dane w świetle NIS 2 – anonimizacja a ograniczenie ryzyka?
- Anonimizacja w praktyce – kiedy, jak, po co?
- Odpowiedzialność nie znika
- Podsumowanie
Dane osobowe stały się nie tylko podstawą funkcjonowania usług cyfrowych, ale także łakomym kąskiem dla cyberprzestępców. Jednocześnie coraz więcej regulacji – od rodo po najnowszą dyrektywę NIS 2 – przypomina, że dane osobowe to nie tylko zasób, ale również odpowiedzialność.
Funkcjonowanie współczesnych organizacji nie może obejść się bez przetwarzania danych. W ramach różnych procesów dane są gromadzone, analizowane, udostępniane, co w konsekwencji wymaga ich odpowiedniego zabezpieczenia.
Dyrektywa NIS 2 (Network and Information Security Directive 2), której implementacja właśnie staje się faktem w wielu krajach UE, wnosi nową jakość w obszarze cyberbezpieczeństwa. Dla wielu organizacji to pierwszy moment, w którym kwestie związane z bezpieczeństwem informacji stają się wprost wyrażonym obowiązkiem prawnym, a nie wyłącznie rekomendacją dobrych praktyk.
W tym nowym kontekście pojawia się pytanie: czy można zmniejszyć ryzyko odpowiedzialności poprzez anonimizację danych? Odpowiedź prowadzi nas w stronę anonimizacji w praktyce, która w dobie rozwoju sztucznej inteligencji z każdym dniem zyskuje na znaczeniu.
Nowe ramy bezpieczeństwa cyfrowego w UE
Dyrektywa NIS 2, która weszła w życie 16 stycznia 2023 r., jest odpowiedzią Unii Europejskiej na rosnącą skalę i złożoność zagrożeń cyfrowych. O ile jej poprzedniczka (NIS 1) skupiała się w głównej mierze na sektorach infrastruktury krytycznej, o tyle NIS 2 w znacznym stopniu rozszerza zakres działania, obejmując m.in. sektor zdrowia, usługi cyfrowe, transport, gospodarkę wodną czy podmioty świadczące usługi publiczne [1].
NIS 2 wprowadza dwa główne typy podmiotów objętych obowiązkami:
- podmioty kluczowe – np. operatorzy sieci energetycznych, dostawcy usług zdrowotnych;
- podmioty ważne – m.in. średnie firmy IT, dostawcy usług w chmurze, rejestratorzy domen.
Warto podkreślić, że NIS 2 przesuwa odpowiedzialność za cyberbezpieczeństwo na poziom strategiczny. Dyrektywa wymaga, by zarząd organizacji objętej wymogami NIS 2 nie tylko znał ryzyka, ale aktywnie uczestniczył w zarządzaniu nimi. Wprowadzony został obowiązek stosowania środków technicznych i organizacyjnych, w tym:
- oceny ryzyka w całym łańcuchu dostaw;
- prowadzenia polityk bezpieczeństwa informacji;
- monitorowania incydentów;
- reagowania na naruszenia w określonym czasie.
W tym kontekście szczególne miejsce zajmują dane osobowe. Często to one są głównym celem ataków, a jednocześnie ich wyciek, w tym utrata dostępności lub integralności mogą prowadzić do dotkliwych sankcji zarówno na gruncie rodo, jak i NIS 2. Stąd coraz większe znaczenie przypisuje się praktykom, które nie tylko chronią dane osobowe, ale także pozwalają zmniejszyć ich podatność lub wręcz całkowicie ją zredukować. Taką praktyką jest właśnie anonimizacja.
Istotną zmianą, którą wprowadza NIS 2, jest ustanowienie odpowiedzialności za cały łańcuch dostaw. Oznacza to, że organizacja odpowiada nie tylko za swoje własne systemy, ale także za podatności i praktyki bezpieczeństwa swoich dostawców, podwykonawców bądź partnerów technologicznych. W praktyce oznacza to konieczność wdrożenia mechanizmów kontroli dostawców, audytów, wymogów kontraktowych dotyczących bezpieczeństwa i stałej weryfikacji zgodności. Z perspektywy danych osobowych i anonimizacji jest to szczególnie istotne, bo nawet jeśli organizacja stosuje wysoki standard ochrony, słabe ogniwo w postaci partnera zewnętrznego może stać się źródłem poważnego incydentu.
Dane w świetle NIS 2 – anonimizacja a ograniczenie ryzyka?
W kontekście NIS 2 dane osobowe stają się nie tylko przedmiotem ochrony, ale również źródłem ryzyka. Ich obecność w systemach może znacząco zwiększać skutki incydentu bezpieczeństwa. Z powyższych względów na popularności zyskuje podejście, w którym najlepiej zabezpieczone dane to te, których już nie ma.
Anonimizacja – jako proces nieodwracalnego usunięcia informacji pozwalających na identyfikację konkretnej osoby fizycznej – może w znacznym stopniu ograniczyć konsekwencje prawne i operacyjne incydentów bezpieczeństwa. Jeśli bowiem dane osobowe przetwarzane w danym systemie zostały skutecznie zanonimizowane, nie będą już stanowiły informacji umożliwiających identyfikację konkretnej osoby fizycznej, tj. informacje te przestaną być danymi osobowymi, a co za tym idzie, nie będą podlegały wymogom prawnym nałożonym przez rodo. W konsekwencji incydent bezpieczeństwa obejmujący te informacje nie będzie naruszeniem ochrony danych osobowych. Co więcej, organizacje mogą dzięki temu lepiej zarządzać ekspozycją na ryzyko wynikające z obowiązków raportowych NIS 2, które wymagają m.in. szybkiego informowania o incydentach mających wpływ na usługi świadczone społeczeństwu.
Warto zaznaczyć, że w przypadku naruszeń bezpieczeństwa przetwarzania danych osobowych podmioty objęte NIS 2 nie zgłaszają ich tylko w zakresie rodo. Muszą je także zgłosić do instytucji nadzorujących w ramach NIS 2. Różnica polega na tym, że czas na spełnienie obowiązków notyfikacyjnych przewidzianych przez NIS 2 wynosi 24 godziny, a nie 72 godziny jak w przypadku zgłoszeń wynikających z rodo. Anonimizacja nie eliminuje odpowiedzialności całkowicie, ale zmniejsza jej zasięg i potencjalną skalę szkody. To sprawia, że staje się nie tylko techniką ochrony prywatności, ale również strategicznym narzędziem zarządzania ryzykiem cyberbezpieczeństwa.
Jednym z praktycznych przykładów wykorzystania anonimizacji jako środka ograniczającego ryzyko jest środowisko testowe systemów informatycznych. Zamiast używać realnych danych osobowych, co w praktyce często dzieje się z wygody lub niewiedzy, organizacje mogą wdrożyć proces anonimizacji przed przekazaniem danych do testów. W przypadku incydentu bezpieczeństwa w takim środowisku nie doszłoby do naruszenia danych osobowych ani obowiązków notyfikacji wynikających z rodo i NIS 2.
Innym przykładem może być analiza danych zdrowotnych w szpitalach i placówkach medycznych – sektorze bezpośrednio objętym NIS 2 jako podmiot kluczowy. Zanonimizowane dane pacjentów mogą być wykorzystywane do analiz epidemiologicznych, bez ryzyka identyfikacji osoby, nawet w przypadku ataku ransomware lub wycieku danych. Takie podejście pozwala nie tylko chronić prywatność, ale i budować zgodność z zasadą minimalizacji danych przewidzianą przez rodo, wzmacniając tym samym całościową odporność organizacji na incydenty. To pokazuje, że anonimizacja to nie działanie „na wszelki wypadek”, lecz realne i celowe narzędzie prewencji, wpisujące się w wymagania dyrektywy.
Anonimizacja w praktyce – kiedy, jak, po co?
Choć anonimizacja często bywa przedstawiana jako złożony i techniczny proces, jej założenie jest proste – usunięcie lub przekształcenie danych osobowych tak, aby w żaden sposób, tj. pośredni i bezpośredni identyfikacja osoby, której dane dotyczą, była niemożliwa. Brak możliwości identyfikacji jest istotnym czynnikiem odróżniającym anonimizację od pseudonimizacji, gdzie dane nadal mają charakter danych osobowych. Przykładem pseudonimizacji będzie zastąpienie danych osobowych identyfikatorem, przy jednoczesnej możliwości odtworzenia ich oryginalnej wersji. W praktyce oznacza to, że tylko skuteczna, czyli nieodwracalna anonimizacja – pozwala wyłączyć stosowanie rodo, tym samym zmniejszając obowiązki wynikające z NIS 2. Wdrożenie procesu nieodwracalnego usunięcia danych warto rozważyć wszędzie tam, gdzie dane nie muszą już pełnić funkcji identyfikacyjnej, np. w środowiskach testowych, raportach analitycznych, badaniach, statystykach, a także w przypadkach, w których dane mają być przekazywane do podmiotów zewnętrznych. Pytanie „w jakim celu?” nabiera dziś nowego znaczenia. Nie chodzi wyłącznie o prywatność, ale o realne ograniczenie zakresu cyberataku, kosztów compliance i skutków ewentualnych naruszeń. W czasach, gdy dane są coraz cenniejsze – zarówno dla organizacji, jak i cyberprzestępców – świadome ich „odpersonalizowanie” może być jedną z najlepszych inwestycji w bezpieczeństwo.
Anonimizacja ma także kluczowe znaczenie w obszarze zarządzania ryzykiem w łańcuchu dostaw. Współpraca z zewnętrznymi dostawcami usług IT, firmami analitycznymi bądź podwykonawcami często wiąże się z koniecznością przekazywania im danych. To właśnie tutaj anonimizacja staje się jednym z najprostszych i najskuteczniejszych sposobów ograniczania ryzyka. W przypadku, w którym partner technologiczny otrzymuje jedynie dane zanonimizowane, potencjalny incydent po jego stronie nie prowadzi do naruszenia danych osobowych, a tym samym nie uruchamia kaskady obowiązków przewidzianych przez rodo i odpowiedzialności prawnej. Z perspektywy compliance to rozwiązanie, które pozwala zabezpieczyć się przed konsekwencjami działań lub zaniedbań podmiotów trzecich – bez konieczności pełnej rezygnacji z outsourcingu czy współpracy z zewnętrznymi ekspertami. Anonimizacja staje się zatem nie tylko technicznym środkiem ochrony, ale także narzędziem budowania odporności w całym ekosystemie dostawców i partnerów.
Odpowiedzialność nie znika
Choć skuteczna anonimizacja w znacznym stopniu ogranicza ryzyko związane z przetwarzaniem danych osobowych, nie oznacza to, że organizacja automatycznie zwalnia się z wszelkiej odpowiedzialności. Właściwe wdrożenie i stosowanie przez organizacje NIS 2 wymaga podejścia systemowego, a nie jednorazowych działań technicznych. Nawet jeśli część danych została zanonimizowana, organizacja nadal musi być w stanie wykazać m.in., że zastosowano odpowiednie środki organizacyjne, w tym przeprowadzono ocenę ryzyka i wdrożono procedury zarządzania incydentami. Od organizacji objętych stosowaniem NIS 2 wymagana jest świadomość całego spektrum zagrożeń. Ponadto przeprowadzenie anonimizacji musi zostać udokumentowane i wykonane w taki sposób, aby w razie kontroli możliwe było wykazanie spełnienia obowiązków. W przeciwnym wypadku może ona zostać uznana za nieskuteczną.
NIS 2 przewiduje odpowiedzialność nie tylko w zakresie skutków incydentów, ale także zaniechań w działaniach prewencyjnych. Innymi słowy, nawet jeśli dane zostaną usunięte z systemu, odpowiedzialność organizacji za ich wcześniejsze przetwarzanie, w tym za procesy bezpieczeństwa czy nadzór nad partnerami technologicznymi, pozostaje realna i wymierna. W praktyce oznacza to konieczność opracowania szczegółowych procedur, które będą obejmowały m.in. cele anonimizacji, opis zastosowanych metod (np. maskowanie, agregacja, usuwanie pól identyfikacyjnych), analizę ryzyka ponownej identyfikacji i audyt powdrożeniowy. Tego rodzaju dokumentacja pełni kluczową rolę zarówno w przypadku kontroli ze strony organów nadzorczych (np. UODO), jak i podczas wewnętrznych przeglądów zgodności z NIS 2. Ponadto właściwie wdrożone procedury pozwalają udowodnić, że organizacja działała rozsądnie, proporcjonalnie i zgodnie z aktualnym stanem wiedzy technicznej, co może mieć znaczenie w przypadku ewentualnej odpowiedzialności prawnej lub wizerunkowej po incydencie. Należy pamiętać, że błędnie przeprowadzona lub źle udokumentowana anonimizacja może zostać zakwestionowana, a wówczas dane będą uznane za osobowe, mimo prób (ostatecznie bezskutecznych) ich usunięcia.
Przepisy NIS 2 stawiają w szczególnej sytuacji członków zarządu i wyższej kadry kierowniczej w organizacji. To także na nich będzie spoczywała bezpośrednia odpowiedzialność za wdrażanie i nadzorowanie środków cyberbezpieczeństwa. W przeciwieństwie do dotychczasowych regulacji, które ograniczały się do nakładania obowiązków na organizację jako całość, NIS 2 przewiduje możliwość nałożenia sankcji indywidualnych na osoby pełniące funkcje kierownicze, jeżeli dopuściły się zaniedbań w zakresie nadzoru nad bezpieczeństwem systemów informacyjnych. W konsekwencji zarząd nie będzie mógł przerzucić pełnej odpowiedzialności na działy IT, compliance czy IOD. Przeciwnie, powinien aktywnie uczestniczyć w podejmowaniu decyzji dotyczących zarządzania ryzykiem, w tym rozumieć, kiedy i dlaczego są stosowane konkretne środki bezpieczeństwa, w tym anonimizacja danych. Z punktu widzenia osób zarządzających organizacją niezbędna staje się podstawowa świadomość technik ochrony danych i ich znaczenia w kontekście ciągłości działania, odporności organizacji i obowiązków raportowych. Wówczas anonimizacja to nie tylko temat dla technicznych specjalistów, to decyzja strategiczna, która wymaga aprobaty i zrozumienia na najwyższym szczeblu kierowniczym w organizacji.
Podsumowanie
Bazując na doświadczeniu zdobytym w ramach obsługi podmiotów pod kątem zapewniania zgodności z rodo i w trakcie przygotowywania klientów do wymogów NIS 2, można śmiało postawić tezę, że anonimizacja przestaje być dziś techniczną ciekawostką z zakresu stosowania rodo, a staje się realnym narzędziem zarządzania ryzykiem w dobie obowiązywania NIS 2. W czasach, gdy incydenty bezpieczeństwa nie są kwestią „czy”, lecz „kiedy”, każda organizacja powinna zadać sobie pytanie: czy na pewno musimy przechowywać te dane osobowe – i jeśli tak, to jak długo? Zanonimizowane informacje nie tylko ograniczają skutki incydentu, ale też zmniejszają zakres obowiązków raportowych i audytowych. To szansa na bardziej świadome, zwinne i odpowiedzialne zarządzanie danymi – bez kompromisów dla analityki bądź rozwoju usług.
Anonimizacja nie zwalnia z odpowiedzialności, ale może sprawić, że będzie ona przewidywalna i co najważniejsze możliwa do zarządzania. Organizacje, które dziś podejmą decyzje strategiczne o ograniczeniu ilości przetwarzanych łatwo identyfikowalnych danych osobowych, zostaną w pamięci jako te, które naprawdę rozumiały wagę prewencji. Bo bezpieczeństwo to nie technologia, lecz wybór.
Przypisy:
- Polska wdraża dyrektywę NIS 2 poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Wciąż pracujemy na projektach ustawy, których liczba wersji zbliża się aktualnie do 10.
Autorzy
Andrzej Babczyński
Autor jest radcą prawnym, ekspertem ds. ochrony danych osobowych w Omni Modo Sp. z o.o.
Maciej Patakiewicz
Autor jest ekspertem ds. bezpieczeństwa informacji, audytorem wiodącym ISO/IEC 27001, audytorem wewnętrznym ISO 27701 w Omni Modo sp. z o.o.
