Pseudonimizacja i anonimizacja danych osobowych – definicje, różnice i wymogi RODO

Pseudonimizacja i anonimizacja to dwie odmienne techniki ochrony danych osobowych, które RODO traktuje w zupełnie różny sposób: dane spseudonimizowane pozostają danymi osobowymi i podlegają rozporządzeniu, natomiast dane zanonimizowane wypadają spod jego zakresu stosowania. Artykuł omawia definicje obu pojęć, ich status prawny w RODO, warunki uznania za pseudonimizację, aktualne orzecznictwo NSA oraz praktyczne przykłady zastosowania w różnych sektorach.

Pseudonimizacja w RODO – definicja prawna i warunki uznania

Jedyną techniką ochrony danych, którą RODO definiuje wprost, jest pseudonimizacja. Zgodnie z art. 4 pkt 5 RODO pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie bez użycia dodatkowych informacji – pod warunkiem że te informacje są przechowywane osobno i objęte środkami technicznymi oraz organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej osobie fizycznej.

Pseudonimizacja jest procesem odwracalnym – administrator posiada klucz pseudonimizacji umożliwiający ponowne powiązanie danych z konkretną osobą. Właśnie dlatego dane spseudonimizowane nadal posiadają status danych osobowych i podlegają pełnemu reżimowi RODO. Równocześnie pseudonimizacja jest uznawana za jeden ze środków technicznych podnoszących poziom bezpieczeństwa przetwarzania.

Aby dane uznać za prawidłowo spseudonimizowane, muszą zostać spełnione łącznie następujące przesłanki:

1. Przetwarzanie bez możliwości przypisania – dane są przetwarzane w sposób uniemożliwiający przypisanie ich do konkretnej osoby bez użycia dodatkowych informacji.
2. Oddzielne przechowywanie – informacje dodatkowe (klucz) są przechowywane odrębnie od danych spseudonimizowanych.
3. Środki techniczne i organizacyjne – klucz jest objęty zabezpieczeniami uniemożliwiającymi nieautoryzowane przypisanie danych do osoby.
4. Odwracalność procesu – możliwe jest ponowne przypisanie danych do konkretnej osoby przy użyciu klucza.
5. Realna możliwość połączenia – możliwość połączenia informacji zasadniczej z informacjami dodatkowymi jest realna, nie wyłącznie teoretyczna.
6. Faktyczny dostęp administratora – administrator lub inny podmiot posiada faktyczny dostęp do informacji dodatkowych umożliwiających identyfikację.

Kiedy dane spseudonimizowane są danymi osobowymi? Wyrok NSA z 2025 r.

Warunki uznania danych spseudonimizowanych za dane osobowe doprecyzował Naczelny Sąd Administracyjny w wyroku z 14 stycznia 2025 r. (sygn. III OSK 6041/21):

• Decyduje realna możliwość połączenia informacji. O statusie danych osobowych nie przesądza sam fakt istnienia klucza, lecz rzeczywista możliwość połączenia „informacji zasadniczej” z „informacjami dodatkowymi” prowadząca do identyfikacji osoby.
• Teoretyczna możliwość identyfikacji nie wystarczy. Musi istnieć „rozsądnie prawdopodobny sposób” i „uzasadnione prawdopodobieństwo” wykorzystania mechanizmów identyfikacji – abstrakcyjna możliwość nie przesądza o statusie danych osobowych.
• Ocena jest relatywna. Ten sam zbiór danych może być danymi osobowymi dla administratora posiadającego klucz, a danymi nieosobowymi dla odbiorcy, który klucza nie posiada i nie ma do niego dostępu.
• Status danych zależy od faktycznego dostępu. Dane pseudonimizowane uzyskują status danych osobowych wyłącznie wtedy, gdy administrator lub inny podmiot posiada faktyczny dostęp do informacji dodatkowych umożliwiających identyfikację.

Ocena, czy dany system pseudonimizacji spełnia te warunki, wymaga analizy konkretnej architektury danych – nie istnieje jeden uniwersalny schemat zgodności.

Techniki pseudonimizacji: tokenizacja, szyfrowanie i ich granice

Wśród technik zaliczanych do pseudonimizacji szczególne znaczenie mają tokenizacja i szyfrowanie kluczem tajnym:

Technika	Opis	Czy to pseudonimizacja?	Uwaga
Tokenizacja	Zastąpienie danych osobowych ciągiem losowych liczb lub tokenem	Tak	Token pełni funkcję pseudonimu; klucz łączący token z danymi musi być przechowywany osobno
Szyfrowanie kluczem tajnym	Zakodowanie danych przy użyciu klucza kryptograficznego; bez klucza dane są niezrozumiałe	Zaliczane do technik pseudonimizacji	Wymaga oddzielnego i zabezpieczonego przechowywania klucza deszyfrującego

Zgodnie z wytycznymi ENISA szyfrowanie należy odróżnić od pseudonimizacji jako takiej: szyfrowanie to przede wszystkim sposób zabezpieczenia danych (czyni je niezrozumiałymi dla osób nieupoważnionych), natomiast pseudonimizacja jest techniką ochrony danych – realizującą wymogi RODO w zakresie minimalizacji ryzyka dla osób, których dane dotyczą.

Przykłady pseudonimizacji w praktyce organizacji

Placówki medyczne

1. Szpital zastępuje dane identyfikacyjne pacjenta (imię, nazwisko, PESEL) unikalnym tokenem.
2. Dokumentacja medyczna oznaczona jest wyłącznie tym tokenem – bez bezpośrednich danych osobowych.
3. Baza łącząca token z danymi identyfikacyjnymi przechowywana jest w osobnym, zabezpieczonym systemie.
4. W razie potrzeby klinicznej administrator systemu może połączyć token z danymi identyfikacyjnymi.

Handel detaliczny – systemy lojalnościowe

1. Sklep przydziela klientowi numer karty lojalnościowej pełniący funkcję pseudonimu.
2. Historia zakupów zapisywana jest wyłącznie pod tym numerem – bez danych osobowych.
3. Dział analityczny przetwarza pseudonimizowane dane zachowań zakupowych; dział obsługi klienta posiada dostęp do klucza łączącego numer karty z danymi osobowymi.

Badania kliniczne i projekty naukowe

1. Każdy uczestnik badania otrzymuje losowy identyfikator badawczy.
2. Próbki biologiczne, wyniki badań i ankiety oznaczane są wyłącznie tym identyfikatorem.
3. Lista łącząca identyfikatory z danymi osobowymi uczestników przechowywana jest przez głównego badacza w osobnym, zabezpieczonym systemie.
4. W razie wycofania zgody lub wystąpienia poważnych skutków ubocznych główny badacz może zidentyfikować uczestnika.

Anonimizacja danych osobowych – status w RODO i motyw 26

O ile RODO zawiera definicję legalną pseudonimizacji w art. 4 pkt 5, o tyle anonimizacja w RODO nie posiada definicji legalnej – rozporządzenie nie wyjaśnia wprost, czym jest ten proces. W odróżnieniu od pseudonimizacji anonimizacja jest procesem nieodwracalnym: po jej przeprowadzeniu nie istnieje żaden klucz ani informacja dodatkowa, która umożliwiałaby identyfikację osoby.

Kluczowego wyjaśnienia dostarcza motyw 26 RODO (tzw. recital). Motywy preambuły nie są samodzielnymi przepisami – pełnią funkcję interpretacyjną wobec artykułów rozporządzenia. Zgodnie z motywem 26, przepisy o ochronie danych nie obejmują informacji anonimowych – tzn. takich, których nie można powiązać ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną – ani danych, które zostały zanonimizowane w sposób trwale wykluczający identyfikację podmiotu danych. W konsekwencji rozporządzenie pozostaje bez zastosowania do przetwarzania tego rodzaju informacji, w tym do celów statystycznych lub naukowych.

Historycznym punktem odniesienia jest nieobowiązująca już polska ustawa o ochronie danych osobowych z 1997 r., której art. 2 wzmiankował anonimizację w kontekście zbiorów danych sporządzanych doraźnie – po wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji. Ustawa ta – analogicznie jak RODO – nie zawierała definicji legalnej tego pojęcia.

Konsekwencja jest jednoznaczna: dane zanonimizowane przestają być danymi osobowymi – i wypadają całkowicie spod zakresu stosowania RODO.

Przykłady anonimizacji: kiedy dane naprawdę przestają być osobowe

Badania rynkowe – raporty statystyczne

1. Po zebraniu ankiet firma usuwa wszystkie identyfikatory osobowe (imiona, nazwiska, adresy).
2. Dane demograficzne agregowane są do szerokich kategorii (np. przedziały wiekowe zamiast dokładnego roku urodzenia).
3. Kody pocztowe skracane są do pierwszych cyfr, aby uniemożliwić identyfikację osób z małych miejscowości.
4. Unikalne kombinacje cech mogące zidentyfikować konkretną osobę są modyfikowane lub usuwane.
5. Oryginalne dane z identyfikatorami są trwale usuwane – wynikowy raport zawiera wyłącznie anonimowe dane zagregowane.

Dane diagnostyczne urządzeń elektronicznych

1. Wszystkie identyfikatory urządzenia (numery seryjne, adresy MAC) są usuwane przed dalszym przetwarzaniem.
2. Dane lokalizacyjne są usuwane lub uogólniane do poziomu kraju.
3. Historia użytkowania agregowana jest do wzorców bez możliwości przypisania do konkretnego użytkownika.
4. Oryginalne dane są trwale usuwane po przetworzeniu – efektem jest całkowita niemożliwość przypisania danych do konkretnej osoby.

Publikacja wyników badań naukowych

1. Przed publikacją usuwa się wszystkie bezpośrednie identyfikatory uczestników (imiona, nazwiska, numery identyfikacyjne).
2. Dokładne daty zastępowane są przedziałami czasowymi; rzadkie cechy lub diagnozy są uogólniane.
3. Dane geograficzne agregowane są do poziomu regionów, a dane tekstowe oczyszczane z identyfikowalnych szczegółów.
4. Stosuje się szum statystyczny – technikę polegającą na dodaniu kontrolowanego szumu (losowych odchyleń) do danych liczbowych, która zachowuje wartość analityczną przy jednoczesnym uniemożliwieniu identyfikacji.
5. Po zakończeniu procesu nie istnieje możliwość odtworzenia oryginalnych danych osobowych.

Pseudonimizacja a anonimizacja – zestawienie różnic

Obie techniki zmierzają do ochrony prywatności, lecz prowadzą do odmiennych skutków prawnych i techniczno-organizacyjnych:

Kryterium	Pseudonimizacja	Anonimizacja
Definicja w RODO	Zdefiniowana w art. 4 pkt 5 RODO	Brak definicji legalnej w RODO
Odwracalność procesu	Odwracalna	Nieodwracalna
Status prawny danych	Nadal dane osobowe	Nie są danymi osobowymi
Możliwość identyfikacji	Możliwa przy użyciu klucza	Niemożliwa – tożsamość ukryta trwale
Przechowywanie informacji	Klucz przechowywany osobno i zabezpieczony	Nie istnieją informacje umożliwiające identyfikację
Zastosowanie RODO	Tak	Nie
Warunki uznania	Realna możliwość połączenia informacji zasadniczej z dodatkowymi	Całkowite i trwałe uniemożliwienie identyfikacji
Główny cel	Bezpieczeństwo danych przy zachowaniu możliwości identyfikacji	Całkowite usunięcie możliwości identyfikacji
Odniesienie historyczne	Brak w polskiej ustawie z 1997 r.	Wzmiankowana w art. 2 ustawy o ochronie danych z 1997 r.

Z perspektywy compliance kluczowa różnica sprowadza się do jednej kwestii: pseudonimizacja redukuje ryzyko, lecz nie zwalnia z RODO – anonimizacja zwalnia, ale wymaga trwałego i nieodwracalnego wyeliminowania każdej drogi do identyfikacji osoby.

Pseudonimizacja i anonimizacja w praktyce Twojej organizacji – kiedy wybrać które rozwiązanie?

Pseudonimizacja jest właściwym wyborem, gdy organizacja musi zachować możliwość identyfikacji osoby w określonych okolicznościach – jak w placówkach medycznych (dostęp do danych pacjenta w razie potrzeby klinicznej), systemach lojalnościowych (obsługa reklamacji) czy badaniach klinicznych (wycofanie zgody przez uczestnika). Dane pozostają pod RODO, lecz ryzyko ujawnienia bezpośrednich identyfikatorów jest istotnie ograniczone dzięki oddzielnemu przechowywaniu klucza. Anonimizacja jest uzasadniona, gdy cel przetwarzania danych może zostać osiągnięty bez jakiejkolwiek możliwości powrotu do tożsamości osoby – typowo w raportach statystycznych, zbiorczych analizach rynkowych lub publikacjach naukowych; efektem jest trwałe wyjście danych spod reżimu RODO.

Czy obecna architektura przetwarzania danych w Twojej organizacji spełnia warunki pseudonimizacji lub anonimizacji określone w RODO?

Audyt i wdrożenie pseudonimizacji – rola kancelarii i doradcy RODO

Wdrożenie pseudonimizacji jako środka technicznego bezpośrednio wspiera zdolność administratora do wywiązania się z obowiązku ochrony danych wynikającego z RODO. Wymaga nie tylko rozwiązań technicznych – tokenizacji, szyfrowania, oddzielnych baz danych – ale przede wszystkim środków organizacyjnych uniemożliwiających nieautoryzowany dostęp do klucza pseudonimizacji i informacji dodatkowych. Jak wynika z wyroku NSA z 14 stycznia 2025 r. (III OSK 6041/21), ocena, czy dane są faktycznie spseudonimizowane, jest relatywna i zależy od faktycznych możliwości konkretnego administratora – ten sam system może być oceniony różnie w zależności od tego, kto posiada klucz i na jakich zasadach.

Szczegółowa ocena zgodności systemu pseudonimizacji z wymogami RODO wymaga analizy konkretnej organizacji – nie ma jednego schematu uniwersalnego.