Co UODO może weryfikować w kontekście BIP?
Zakres kontroli obejmuje:
To stawia przed JST bardzo konkretne wyzwanie, nie chodzi tylko o anonimizację przed publikacją.
Trzeba też wykazać, że proces jest prawidłowo zaprojektowany, musi być powtarzalny i kontrolowalny.
Dwa obowiązki, które trzeba pogodzić
W praktyce oznacza to konieczność pogodzenia dwóch porządków:
- obowiązku udostępniania informacji publicznej,
- obowiązku zapewnienia ochrony danych osobowych.
RODO przewiduje wprost mechanizm „ważenia” tych wartości.
Wskazuje, że ujawnianie danych osobowych w dokumentach urzędowych powinno odbywać się zgodnie z prawem UE lub państwa członkowskiego.
Ma to się odbywać w sposób godzący publiczny dostęp do dokumentów z prawem do ochrony danych. (RODO, motyw 154)
Dlaczego anonimizacja „na oko” to ryzyko?
W wielu jednostkach anonimizacja nadal jest wykonywana ręcznie, co wydłuża czas publikacji dokumentów.
Najczęściej dzieje się to poprzez edycję PDF, a więc bez stałego i powtarzalnego schematu.
Często stosuje się też zamazywanie fragmentów obrazu, ponieważ wydaje się to szybkim rozwiązaniem.
Spotyka się również nanoszenie masek lub przeróbki w skanach, szczególnie przy dokumentach archiwalnych.
Takie podejście bywa skuteczne doraźnie, jednak nie zapewnia bezpieczeństwa w każdym przypadku.
Z perspektywy kontroli UODO pojawiają się dwa problemy, które warto jasno zidentyfikować.
Pierwszym jest ryzyko publikacji danych nadmiarowych, czyli niepotrzebnych do celu publikacji.
W efekcie może dojść do ujawnienia informacji, które nie powinny trafić do BIP.
Drugim problemem jest brak rozliczalności procesu, co utrudnia wykazanie zgodności z RODO.
Trudno wtedy udowodnić, kto i w jakim trybie przygotował dokument przed publikacją.
Co wprost wymaga RODO?
Tymczasem RODO wymaga:
- minimalizacji danych (RODO, art. 5 ust. 1 lit. c)
- przetwarzania w sposób zapewniający integralność i poufność (RODO, art. 5 ust. 1 lit. f)
- wykazania zgodności z zasadami przez administratora (RODO, art. 5 ust. 2)
praktyce kontrola w BIP rzadko kończy się na pytaniu: „czy zamazali Państwo PESEL w dokumencie”.
Znacznie częściej pojawia się pytanie o proces, ponieważ liczy się też sposób działania urzędu.
Kontrolerzy sprawdzają, czy urząd posiada procedurę oraz dowody wykonanych czynności w dokumentach.
Pojawia się też pytanie, czy anonimizacja jest wykonywana stale, a także w sposób mierzalny.
Równie istotne jest, czy cały proces można odtworzyć, gdy pojawią się wątpliwości.
Jak przygotować urząd na kontrolę BIP: podejście procesowe
1) Ustandaryzuj zasady publikacji i anonimizacji
Kluczowe jest spisanie i wdrożenie jednolitego podejścia.
W praktyce warto ustalić:
- jakie typy dokumentów publikujemy,
- które elementy zawsze podlegają anonimizacji,
- kto odpowiada za weryfikację przed publikacją.
Takie podejście bezpośrednio wspiera zasadę „privacy by default” i porządkuje działania urzędu.
Oznacza to domyślne przetwarzanie wyłącznie danych niezbędnych do celu. (RODO, art. 25 ust. 2)
2) Ogranicz dane do niezbędnego minimum
W kontekście BIP najczęstszy błąd nie polega na braku anonimizacji w dokumentach urzędowych.
Znacznie częściej problemem jest publikowanie zbyt szerokiego zakresu danych w udostępnianych materiałach.
Dotyczy to zarówno dokumentów głównych, jak i załączników, które często zawierają wrażliwe informacje.
RODO wskazuje wprost, że dane powinny być adekwatne oraz stosowne do celu publikacji.
Powinny też być ograniczone do tego, co niezbędne. (RODO, art. 5 ust. 1 lit. c)
W praktyce oznacza to konieczność zbudowania check-listy publikacyjnej dla każdego typu dokumentu.
Potrzebne są też reguły oceny, czy dana informacja rzeczywiście musi trafić do BIP.
3) Zapewnij rozliczalność (dowody wykonania działań)
W kontroli liczy się możliwość wykazania działań, a nie tylko sama deklaracja zgodności urzędu.
Urząd musi pokazać, że działa zgodnie z zasadami, ponieważ to ogranicza ryzyko naruszeń.
Musi też potrafić to udokumentować, aby w razie pytań wskazać konkretne dowody działań.
RODO wprost nakłada wymóg wykazania zgodności. (RODO, art. 5 ust. 2)
Administrator ma też obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne w całym procesie.
Mają one zapewnić zgodność przetwarzania oraz umożliwić jej wykazanie. (RODO, art. 24 ust. 1)
W praktyce „rozliczalność” w obszarze BIP oznacza m.in.:
- ślad, kto przygotował dokument,
- ślad, kto zatwierdził anonimizację,
- informację, kiedy i w jakim projekcie dokument był obrabiany,
- możliwość odtworzenia przebiegu przygotowania do publikacji.
4) Zadbaj o bezpieczeństwo procesu (nie tylko publikacji)
ontrola w BIP obejmuje także bezpieczeństwo pracy z dokumentami oraz sposób ich przygotowania do publikacji.
Chodzi zarówno o bezpieczeństwo organizacyjne, jak i techniczne, które ogranicza ryzyko ujawnienia danych.
RODO wymaga wdrożenia środków zapewniających odpowiedni poziom bezpieczeństwa, zgodny z poziomem ryzyka. (RODO, art. 32 ust. 1)
Wymagane jest między innymi zapewnienie poufności i integralności danych na każdym etapie procesu.
Wymagane jest też regularne testowanie skuteczności zabezpieczeń. (RODO, art. 32 ust. 1 lit. b–d)
Dla JST oznacza to m.in. konieczność:
- kontroli dostępu do dokumentów roboczych,
- ograniczania uprawnień do osób realizujących proces publikacji,
- eliminacji niekontrolowanego obiegu plików.
Jak Bluur może pomóc w przygotowaniu do kontroli BIP?
Warto spojrzeć na Bluur szerzej niż tylko jako „narzędzie do zamazywania” fragmentów dokumentów.
Może on być elementem wdrożenia powtarzalnego procesu anonimizacji, zgodnego z wymaganiami urzędu.
Może też wspierać przygotowanie dokumentów do publikacji, szczególnie przy dużej liczbie materiałów.
W tym również w kontroli, weryfikacji oraz rozliczalności działań, które są kluczowe podczas audytu.
1) Praca procesowa w projektach i zespołach
Bluur umożliwia organizację pracy w projektach, co porządkuje działania i ułatwia nadzór.
Umożliwia też zarządzanie zespołem, dzięki czemu można jasno rozdzielić odpowiedzialności w procesie.
Pozwala rozdzielać dokumenty na własne i współdzielone w projekcie, bez mieszania wersji plików.
Dla urzędu oznacza to ograniczenie obiegu dokumentów, a więc mniejsze ryzyko błędów.
Praca odbywa się w kontrolowanym środowisku i rolach, dlatego łatwiej zachować porządek.
To lepsze niż przekazywanie plików „pomiędzy skrzynkami”, gdzie trudno o spójność i kontrolę.
2) Automatyczne wykrywanie danych wymagających anonimizacji + konfiguracja schematów
System zapewnia podgląd dokumentu, dzięki czemu użytkownik widzi treść przed publikacją.
Pokazuje też automatycznie wykryte elementy do anonimizacji, co przyspiesza pracę na dokumentach.
Pozwala też definiować własne pola, więc urząd może dopasować proces do swoich potrzeb.
W kontekście BIP istotne jest to, że Bluur klasyfikuje wykryte informacje w sposób uporządkowany.
Obejmuje to między innymi dane identyfikacyjne, takie jak imię, nazwisko, PESEL i numer dokumentu.
System rozpoznaje także dane kontaktowe i adresowe, które często pojawiają się w załącznikach.
Wykrywa również podpisy i pieczęcie, co zmniejsza ryzyko publikacji danych wrażliwych,(Poza wymienionymi system wykrywa łącznie, aż 32 kategorie danych).
To ułatwia spójne podejście do anonimizacji, niezależnie od rodzaju publikowanego materiału.
Dotyczy to typowych dokumentów, które regularnie trafiają do BIP w ramach pracy urzędu.
3) Weryfikacja przed zatwierdzeniem i zapis wyniku w projekcie
Bluur wspiera tryb pracy, w którym anonimizacja jest zatwierdzana przed publikacją dokumentu.
Wynik może być zapisany w projekcie, dlatego łatwiej zachować porządek i historię zmian.
To wzmacnia jakość procesu, ponieważ każdy dokument przechodzi kontrolę przed udostępnieniem.
Urząd ma możliwość weryfikacji przed finalnym krokiem, co zwiększa bezpieczeństwo publikacji w BIP.
Zmniejsza to ryzyko publikacji bez kontroli, a także ogranicza błędy wynikające z pośpiechu.
4) Historia działań: fundament rozliczalności w kontroli
W kontroli kluczowa jest możliwość wykazania przebiegu procesu, a więc także jego pełnej przejrzystości.
Proces musi być wykonywany w sposób uporządkowany, aby urząd mógł łatwo go odtworzyć.
Bluur prowadzi między innymi historię anonimizacji, co ułatwia analizę działań w projekcie.
System zapisuje też historię edycji dokumentu, dzięki czemu widać kolejne kroki przygotowania.
Obejmuje to informacje, kto utworzył dokument oraz kto i kiedy go anonimizował.
System zapisuje także informacje o usunięciu dokumentu źródłowego, co porządkuje obieg plików.
Zapisuje również informacje o całkowitym usunięciu, jeśli taki krok został wykonany w projekcie.
Taka historia działań wspiera zasadę rozliczalności. (RODO, art. 5 ust. 2)
Ułatwia też przygotowanie odpowiedzi na pytania kontrolne dotyczące przygotowania dokumentów do publikacji.
5) Retencja dokumentów i ograniczenie przechowywania
W administracji istotnym ryzykiem jest gromadzenie plików roboczych, które pozostają w obiegu zbyt długo.
Problemem są też kopie oraz materiały „przejściowe”, ponieważ często nie mają jasnych zasad utrzymania.
W praktyce brakuje też określonego czasu przechowywania, co utrudnia kontrolę nad zasobami urzędu.
W Bluur użytkownicy mają do dyspozycji opcjonalną automatyczną retencję w ramach projektu.
Możliwe jest usuwanie oryginalnych dokumentów po określonym czasie, zgodnie z przyjętymi regułami.
Możliwe jest też usunięcie wszystkich dokumentów po czasie, aby nie gromadzić zbędnych danych.
To wspiera zasadę ograniczenia przechowywania. (RODO, art. 5 ust. 1 lit. e)
6) Wsparcie bezpieczeństwa pracy z dokumentami
System zapewnia między innymi szyfrowanie danych w transmisji, zgodne ze standardem TLS 1.3.
Stosuje też logiczną izolację środowisk klientów w architekturze wielodostępnej, aby ograniczyć ryzyko dostępu.
To elementy istotne dla bezpieczeństwa przetwarzania danych. (RODO, art. 32)
Co realnie robi różnicę w kontroli BIP?
Jeżeli kontrola dotyczy „sposobu przetwarzania danych w BIP”, urząd musi wykazać działanie procesowe.
Dotyczy to w szczególności anonimizacji, ponieważ ma bezpośredni wpływ na zakres publikowanych danych.
Dotyczy to także udostępniania przebiegu sesji rad gminy, gdzie pojawiają się dane osobowe uczestników.
Najbezpieczniejsze podejście w JST zwykle opiera się na trzech filarach, które porządkują cały proces.
Minimalizacja danych oznacza, że publikujemy wyłącznie to, co niezbędne. (RODO, art. 5 ust. 1 lit. c)
Bezpieczeństwo procesu obejmuje adekwatne środki organizacyjne i techniczne, zgodne z poziomem ryzyka. (RODO, art. 32)
Rozliczalność i dowody oznaczają możliwość wykazania zgodności w razie pytań kontrolnych. (RODO, art. 5 ust. 2 oraz art. 24 ust. 1)
W tym ujęciu narzędzie takie jak Bluur może pełnić rolę realnego wsparcia procesu w urzędzie.
Porządkuje pracę zespołu, ponieważ dokumenty są przypisane do projektów i ról użytkowników.
Pomaga wykrywać dane do anonimizacji, dlatego praca jest szybsza i mniej podatna na błędy.
Zapewnia etap weryfikacji, co ogranicza ryzyko publikacji dokumentu bez kontroli jakości.
Buduje historię działań oraz logikę retencji, więc łatwiej wykazać przebieg przygotowania publikacji.
