Anonimizacja to też przetwarzanie danych
Zacznijmy od rzeczy nieoczywistej: sam proces anonimizacji jest przetwarzaniem danych osobowych w rozumieniu RODO. Dopóki dokument zawiera dane, każda operacja na nim — w tym ich usuwanie — podlega przepisom. Dlatego niezależnie od tego, czy anonimizujesz ręcznie w edytorze PDF, programem na własnym komputerze, czy w narzędziu chmurowym, robisz to jako administrator danych i odpowiadasz za ten proces.
Różnica między tymi scenariuszami nie polega więc na tym, że jeden podlega RODO, a drugi nie. Polega na tym, czy w procesie uczestniczy dodatkowy podmiot — i czy ta relacja jest prawidłowo umocowana.
Czego uczy kara dla Aleksandrowa Kujawskiego
W 2019 r. Prezes UODO nałożył pierwszą karę finansową na podmiot publiczny — 40 000 zł dla Burmistrza Aleksandrowa Kujawskiego (decyzja ZSPU.421.3.2019). Sprawa dotyczyła m.in. Biuletynu Informacji Publicznej: zasoby BIP znajdowały się na serwerach zewnętrznej firmy, a urząd nie zawarł z nią umowy powierzenia przetwarzania danych. Wojewódzki Sąd Administracyjny w Warszawie skargę burmistrza oddalił, uznając karę za adekwatną.
Warto zauważyć, za co ta kara nie została nałożona. Nie za to, że urząd korzystał z zewnętrznego dostawcy — to jest codzienna, legalna praktyka (hosting BIP, poczta, systemy EZD). Kara została nałożona za to, że relacja z dostawcą nie była umocowana zgodnie z art. 28 RODO.
Wniosek jest praktyczny: RODO nie zabrania chmury — RODO wymaga, żeby korzystanie z niej było umocowane umową powierzenia. To dokładnie ten mechanizm prawny, który od lat pozwala urzędom hostować BIP na zewnętrznych serwerach, a firmom korzystać z zewnętrznej księgowości online.
Gdzie naprawdę leży ryzyko
Przy wyborze narzędzia do anonimizacji porównujemy zwykle dwa ryzyka — i często ważymy je nieprawidłowo.
Ryzyko pierwsze: przetwarzanie dokumentu poza własną infrastrukturą. To ryzyko istnieje, ale jest rezydualne i kontrolowalne: ogranicza je umowa powierzenia, szyfrowana transmisja i przetwarzanie bez przechowywania treści dokumentów. Materializuje się tylko wtedy, gdy po stronie dostawcy dojdzie do incydentu.
Ryzyko drugie: przeoczone dane w opublikowanym dokumencie. To ryzyko materializuje się natychmiast i publicznie. Dokument z przeoczonym nazwiskiem w BIP, w aktach udostępnionych stronie postępowania czy w prospekcie wysłanym klientowi to nie „ryzyko naruszenia” — to naruszenie, które już nastąpiło, często z obowiązkiem zgłoszenia do UODO (art. 33) i zawiadomienia osób, których dane dotyczą (art. 34).
Innymi słowy: wybierając narzędzie słabsze, ale „bezpieczniejsze”, można zamienić ryzyko teoretyczne na praktycznie pewne.
Dlaczego skuteczność wykrywania wymaga rozumienia kontekstu
Dane osobowe to nie tylko imię, nazwisko i PESEL. Zgodnie z art. 4 pkt 1 RODO osoba jest zidentyfikowana także wtedy, gdy można ją rozpoznać pośrednio — a motyw 26 każe brać pod uwagę „wszelkie rozsądnie prawdopodobne sposoby” identyfikacji.
Przykład: zdanie „wniosek złożył prezes miejscowej spółki wodociągowej, którego małżonka prowadzi aptekę przy rynku” nie zawiera ani jednego nazwiska, ani numeru — a w kilkutysięcznej gminie identyfikuje konkretną osobę bezbłędnie. Dokument, w którym zaczerniono nazwiska i PESEL-e, ale zostawiono takie zdanie, nie jest zanonimizowany. Jest co najwyżej spseudonimizowany — czyli w świetle RODO nadal zawiera dane osobowe.
Wykrywanie wzorców (PESEL, NIP, format nazwiska) potrafi zrobić prosty program działający lokalnie. Wykrycie identyfikacji pośredniej wymaga zrozumienia treści dokumentu — i to jest zadanie, w którym duże modele językowe mają zasadniczą przewagę. A modele o takiej skuteczności działają dziś w chmurze. To jest rzeczywisty kompromis, o którym warto rozmawiać: nie „chmura czy bezpieczeństwo”, tylko jaki poziom skuteczności wykrywania jest potrzebny, żeby opublikowany dokument był naprawdę czysty.
Jak ten dylemat rozstrzygnęły kancelarie prawne
Branżą, która ma najwięcej do stracenia na poufności, jest rynek prawniczy — tajemnica adwokacka i radcowska to fundament zawodu. A mimo to właśnie ten rynek masowo wdraża chmurowe AI: Allen & Overy (dziś A&O Shearman), jedna z największych kancelarii świata, już w 2023 r. udostępniła swoim prawnikom chmurowego asystenta Harvey; z podobnych narzędzi korzystają dziś czołowe kancelarie w Europie, w tym w Polsce.
Te organizacje nie zignorowały ryzyka — one je zważyły. Uznały, że przy prawidłowym umocowaniu prawnym i technicznym korzyść ze skuteczności narzędzia przewyższa ryzyko rezydualne przetwarzania w chmurze.
A jeśli dokument nie może opuścić Twojego komputera?
Są środowiska, w których przetwarzanie poza własną infrastrukturą jest wykluczone regulacyjnie lub polityką wewnętrzną — niezależnie od umów i zabezpieczeń. Jeżeli działasz w takim reżimie, rozwiązanie chmurowe nie jest dla Ciebie właściwe i żaden artykuł tego nie zmieni.
Pracujemy nad aplikacją desktopową RedactRocket na Mac i Windows, działającą bezpośrednio na Twoim komputerze. Jeśli to Twój scenariusz — zapisz się na listę oczekujących, a damy znać w dniu premiery.
Szczegóły tego, jak przetwarzamy dokumenty w wersji chmurowej, opisujemy na stronie Bezpieczeństwo i prywatność. A jeśli publikujesz dokumenty w BIP, zobacz: anonimizacja informacji publicznej.