Bezpieczeństwo danych

Pseudonimizacja i szyfrowanie jako środki ochrony danych osobowych

Aktualizacja: 5 czerwca 2026 Podstawa: Rozporządzenie 2016/679 (RODO) Autor: redakcja Vatalnol.eu
Indeks prywatności w internecie – schemat graficzny

Artykuł 32 RODO zobowiązuje administratorów i podmioty przetwarzające do wdrożenia środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku. Wśród przykładowych środków wymienionych wprost w przepisach znalazły się pseudonimizacja i szyfrowanie – dwie różne techniki, których zakres ochrony i skutki prawne znacząco się różnią.

Podstawa prawna: Art. 4 pkt 5 (definicja pseudonimizacji), art. 25 ust. 1, art. 32 ust. 1 lit. a (pseudonimizacja i szyfrowanie jako środki bezpieczeństwa) oraz motyw 26, 28 i 83 preambuły RODO.

Czym jest pseudonimizacja?

RODO zawiera w art. 4 pkt 5 legalną definicję pseudonimizacji. Jest to przetwarzanie danych osobowych w taki sposób, by nie można ich już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Kluczowe cechy pseudonimizacji:

  • dane po pseudonimizacji nadal są danymi osobowymi w rozumieniu RODO
  • istnieje możliwość ponownego zidentyfikowania osoby przy użyciu dodatkowych informacji (klucza)
  • klucz musi być przechowywany oddzielnie i odpowiednio zabezpieczony
  • skutkuje zmniejszeniem ryzyka i może zmniejszyć obowiązki administratora w określonych sytuacjach

Pseudonimizacja a anonimizacja – różnica fundamentalna

Pseudonimizacja jest odwracalna – przy posiadaniu klucza można przywrócić dane do postaci umożliwiającej identyfikację osoby. Anonimizacja natomiast jest nieodwracalna: po właściwej anonimizacji nie ma możliwości ponownego zidentyfikowania osoby, a dane przestają być danymi osobowymi w rozumieniu RODO. Motyw 26 preambuły RODO wskazuje, że zasady ochrony danych nie powinny mieć zastosowania do informacji anonimowych.

Uwaga praktyczna: Wiele metod określanych w dokumentach organizacyjnych jako „anonimizacja" jest w rzeczywistości pseudonimizacją – dane nadal mogą być powiązane z konkretną osobą przy użyciu dodatkowych zbiorów danych lub metod. Ocena skuteczności anonimizacji powinna uwzględniać dostępność zewnętrznych zbiorów danych umożliwiających re-identyfikację.

Techniki pseudonimizacji stosowane w praktyce

Europejska Rada Ochrony Danych (EDPB) oraz jej poprzednik – Grupa Robocza art. 29 – wskazywały na kilka podstawowych technik pseudonimizacji:

Szyfrowanie z tajnym kluczem

Dane identyfikujące osobę (np. numer PESEL, adres e-mail) są zastępowane kryptogramem generowanym przy użyciu tajnego klucza. Klucz przechowywany jest oddzielnie od danych. Odszyfrowanie wymaga dostępu do klucza. Technika ta jest odwracalna tylko dla posiadacza klucza.

Funkcja skrótu (hashing)

Identyfikator osoby jest przetwarzany przez funkcję skrótu kryptograficznego (np. SHA-256), której wynik zastępuje oryginalne dane. Przy zastosowaniu dodatkowego sekretu (salt) wynikowy skrót jest nieodwracalny dla osoby nieposiadającej zarówno algorytmu, jak i sekretu. Ta metoda jest stosowana m.in. w systemach logowania do przechowywania haseł.

Tokenizacja

Oryginalne dane zastępowane są losowo wygenerowanymi tokenami. Mapowanie token–dane przechowywane jest w oddzielnej, zabezpieczonej tabeli. Metoda szeroko stosowana w branży płatniczej – zamiast numeru karty płatniczej systemy operują na tokenie.

Szyfrowanie danych osobowych

Szyfrowanie różni się od pseudonimizacji tym, że jego celem jest zapewnienie poufności danych w stanie spoczynku (at rest) lub podczas transmisji (in transit) – nie zaś oddzielenie danych od klucza identyfikacyjnego. Zaszyfrowane dane po odszyfrowaniu są w pełni identyfikowalne.

RODO nie określa konkretnych algorytmów szyfrowania. Wybór algorytmu powinien uwzględniać aktualny stan wiedzy technicznej i być adekwatny do ryzyka. W praktyce organizacje stosują:

  • AES-256 do szyfrowania danych w stanie spoczynku (bazy danych, dyski twarde)
  • TLS 1.2 lub 1.3 do szyfrowania danych w transmisji (HTTPS, komunikacja API)
  • szyfrowanie end-to-end w komunikacji i przesyłaniu plików

Szyfrowanie a naruszenia ochrony danych

Zastosowanie szyfrowania ma bezpośredni wpływ na obowiązki związane z naruszeniami. Art. 34 ust. 3 lit. a RODO wskazuje, że zawiadomienie osoby, której dane dotyczą, o naruszeniu nie jest wymagane, jeżeli administrator zastosował odpowiednie techniczne środki ochrony, a środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności te, które sprawiają, że dane są nieczytelne dla osób nieuprawnionych, takie jak szyfrowanie.

Innymi słowy: jeśli skradziony lub ujawniony zbiór danych był zaszyfrowany silnym algorytmem i klucz nie został skompromitowany, administrator może być zwolniony z obowiązku indywidualnego zawiadamiania osób fizycznych o naruszeniu.

Obowiązek właściwego doboru środków – art. 32 RODO

Decydując o zastosowaniu konkretnych środków technicznych, administrator musi uwzględnić:

  1. stan wiedzy technicznej w danym momencie
  2. koszt wdrożenia
  3. charakter, zakres, kontekst i cele przetwarzania
  4. ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze

Wymóg „odpowiedniego stopnia bezpieczeństwa" nie oznacza konieczności stosowania najnowocześniejszych rozwiązań bez względu na koszty. RODO odwołuje się do zasady proporcjonalności: środki powinny być adekwatne do ryzyka, nie nadmierne ani niewystarczające.

Pseudonimizacja a przetwarzanie danych do celów naukowych i statystycznych

Motyw 28 preambuły RODO wskazuje, że stosowanie pseudonimizacji może zmniejszyć ryzyka dla osób, których dane dotyczą, i pomóc administratorom i podmiotom przetwarzającym w wywiązaniu się z obowiązków z zakresu ochrony danych. Przepisy szczególne, m.in. art. 89 RODO, dopuszczają możliwość stosowania ułatwień przy przetwarzaniu zanonimizowanych lub pseudonimizowanych danych do celów naukowych lub badawczych – o ile wdrożone gwarancje spełniają wymogi rozporządzenia.

W kontekście polskich przepisów wykonawczych do RODO, ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 z późn. zm.) oraz przepisy sektorowe (prawo zdrowotne, prawo bankowe, przepisy o usługach płatniczych) wprowadzają dodatkowe wymagania co do zabezpieczeń technicznych w określonych branżach.

Powiązane artykuły

Więcej na temat RODO

Prawa osób

Prawa osób, których dane dotyczą – katalog uprawnień wynikających z RODO

Prawo dostępu, sprostowania, usunięcia i przenoszenia danych – omówienie art. 15–22 RODO.

Czytaj Administrator danych

Obowiązki administratora danych – co wynika z art. 24–39 RODO

Rejestr czynności przetwarzania, DPIA, IOD i zgłaszanie naruszeń – obowiązki organizacyjne administratora.

Czytaj

Treści zamieszczone na portalu mają charakter wyłącznie informacyjny i edukacyjny. Nie stanowią porady prawnej ani interpretacji przepisów prawa.