Polityka prywatności

Ocena skutków dla ochrony danych osobowych (DPIA) dla operacji przetwarzania danych użytkowników w związku z uruchomieniem systemu chatbota informacyjnego na stronie PEWIK GDYNIA Sp. z o.o.

Zgodnie z art. 35 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), jeżeli dana operacja przetwarzania danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych jest zobowiązany do przeprowadzenia oceny skutków dla ochrony danych (DPIA). Ocena ta pozwala zidentyfikować ryzyka wynikające z planowanego przetwarzania oraz wdrożyć środki minimalizujące ich wpływ.
Wdrożenie chatbota na stronie internetowej PEWIK GDYNIA Sp. z o.o. ma służyć ułatwieniu dostępu do informacji publicznych oraz materiałów publikowanych na stronie i w Biuletynie Informacji Publicznej. System ten pełni funkcję informacyjno-nawigacyjną, prowadząc użytkownika do odpowiednich treści lub formularzy zgłoszeniowych. Chatbot nie służy do obsługi indywidualnych spraw i nie wymaga podawania danych osobowych, a jego konfiguracja została oparta na zasadach privacy by design i privacy by default (art. 25 RODO).

Niemniej jednak, z uwagi na interaktywny charakter narzędzia, istnieje możliwość, że użytkownik dobrowolnie wprowadzi dane, które mogą umożliwiać jego identyfikację (np. imię, nazwisko, numer klienta, adres). Ponadto system w ograniczonym zakresie utrwala logi rozmów dla celów utrzymania i monitorowania działania usługi. W związku z tym konieczne jest przeprowadzenie oceny skutków dla ochrony danych, aby potwierdzić zgodność rozwiązania z RODO i ocenić wpływ na prywatność użytkowników.

Celem niniejszego dokumentu jest:

zidentyfikowanie operacji przetwarzania danych związanych z działaniem chatbota,
ocena zgodności przetwarzania z zasadami RODO, w szczególności minimalizacji danych, ograniczenia celu i przejrzystości,
identyfikacja potencjalnych zagrożeń dla praw i wolności osób korzystających z systemu,
wskazanie środków technicznych i organizacyjnych mających na celu zmniejszenie ryzyk do poziomu akceptowalnego.

Dokument uwzględnia wytyczne Europejskiej Rady Ochrony Danych WP248 rev. 01 oraz praktykę interpretacyjną organów nadzorczych.

1. Opis planowanego przetwarzania danych

Administratorem danych jest PEWIK GDYNIA Sp. z o.o. Spółka udostępnia użytkownikom informacje dotyczące swojej działalności oraz dokumenty i komunikaty dostępne w Biuletynie Informacji Publicznej. Wdrożenie chatbota ma na celu ułatwienie użytkownikom dostępu do tych treści, poprzez umożliwienie uzyskania informacji w formie dialogowej i prowadzenia użytkownika krok po kroku do właściwej podstrony, formularza lub dokumentu. Chatbot pełni zatem funkcję informacyjno-nawigacyjną i nie jest narzędziem do obsługi indywidualnych spraw.

Chatbot działa w infrastrukturze PEWIK GDYNIA, bez korzystania z zewnętrznych usług przetwarzania treści oraz bez trenowania modelu na danych użytkowników. Oznacza to, że treści wpisywane do chatbota nie są przekazywane poza środowisko Spółki. W trakcie działania system mogą być utrwalane logi rozmów, ale wyłącznie w zakresie niezbędnym dla:

diagnostyki błędów i zapewnienia poprawnego działania narzędzia,
przeciwdziałania nadużyciom i próbom ingerencji (np. prompt injection),
monitorowania jakości udzielanych odpowiedzi, bez dalszego trenowania modelu.

Podstawa prawna przetwarzania logów: art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes administratora polegający na zapewnieniu stabilności i bezpieczeństwa systemu oraz prawidłowego udzielania informacji publicznych. Interes ten zostanie udokumentowany testem równowagi (LIA).

Chatbot został zaprojektowany zgodnie z zasadą privacy by design:
domyślnie nie przetwarza danych osobowych, a w przypadku wykrycia treści, które mogą takimi danymi być (np. numer klienta, imię i nazwisko, adres), automatycznie wyświetla komunikat informujący o zakazie podawania danych osobowych oraz kieruje użytkownika do właściwego kanału kontaktu (np. telefon, e-BOK, formularz zgłoszeniowy). Chatbot nie wykorzystuje treści rozmów do trenowania modelu.

Logi rozmów przechowywane są przez 30 dni, po czym są automatycznie usuwane lub anonimizowane w sposób uniemożliwiający identyfikację osoby.

2. Charakter relacji z użytkownikami oraz prawa osób, których dane mogą dotyczyć

Korzystanie z chatbota jest dobrowolne, a użytkownik ma pełną kontrolę nad tym, co wpisuje do okienka czatu. Przed rozpoczęciem rozmowy użytkownik otrzymuje jasną informację, że:

chatbot służy wyłącznie do udzielania informacji publicznej,
nie należy podawać danych osobowych ani informacji dotyczących indywidualnych spraw,
sprawy związane z konkretną sytuacją klienta powinny być kierowane do Biura Obsługi Klienta lub przez e-BOK.

Ponieważ chatbot nie identyfikuje użytkowników, nie prowadzi kont i nie łączy zapisów rozmów z żadnymi innymi systemami, treści rozmów nie mogą zostać przypisane do konkretnej osoby. Ochrona prywatności użytkowników jest zapewniona poprzez krótką retencję logów (30 dni) oraz automatyczne ich usuwanie. Nie ma możliwości odzyskania lub wyszukania logów przypisanych do danej osoby, ponieważ administrator nie posiada informacji pozwalających na jej identyfikację.

Chatbot nie profiluje użytkowników i nie podejmuje decyzji mających skutki prawne lub podobnie istotny wpływ (art. 22 RODO nie ma zastosowania).

3. Proporcjonalność i niezbędność przetwarzania

W analizie proporcjonalności kluczowe jest to, że chatbot nie wymaga danych osobowych do realizacji swojego celu. Jego działanie opiera się na zasobach publicznych dostępnych na stronie i w BIP. Ewentualne przetwarzanie danych osobowych ma charakter incydentalny, ponieważ wynika wyłącznie z tego, że użytkownik może samodzielnie wpisać takie dane w toku rozmowy. System został zaprojektowany tak, aby ograniczyć możliwość wystąpienia takiej sytuacji oraz zminimalizować jej skutki.

Utrwalanie logów jest ograniczone do niezbędnego minimum, a retencja 30 dni jest uzasadniona wyłącznie:

koniecznością diagnozowania błędów i poprawy stabilności działania,
ochroną przed nadużyciami i analizą ewentualnych prób ataku,
zapewnieniem możliwości przywrócenia poprawnego działania, jeżeli chatbot udziela błędnych odpowiedzi.

Zakres logów nie obejmuje identyfikatorów użytkowników ani informacji łączących treść rozmowy z daną osobą – dane techniczne (np. identyfikator sesji) nie są łączone z innymi systemami, a adresy IP nie są zapisywane, o ile nie jest to technicznie niezbędne do obsługi połączenia (wówczas podlegają automatycznej anonimizacji).

Alternatywne rozwiązania – takie jak wyłącznie statyczna wyszukiwarka na stronie – nie zapewniałyby porównywalnego poziomu dostępności informacji, szczególnie dla osób nieobeznanych ze strukturą BIP.

4. Ocena ryzyk naruszenia praw i wolności osób fizycznych

W ramach oceny skutków zidentyfikowano potencjalne zagrożenia wynikające z działania chatbota, uwzględniając zarówno błędy użytkowników (np. przypadkowe podanie danych), jak i zagrożenia techniczne oraz nadużycia. Każde z ryzyk oceniono pod kątem możliwego wpływu na prywatność użytkownika, w szczególności ryzyka identyfikacji osoby, błędnego udzielenia informacji lub nieuprawnionego dostępu do danych.

Wskazane ryzyka nie oznaczają, że wystąpią, lecz określają co mogłoby się wydarzyć, gdyby nie zastosowano odpowiednich zabezpieczeń. Pozwala to dobrać środki techniczne i organizacyjne, które redukują prawdopodobieństwo i siłę skutków takich zdarzeń do poziomu akceptowalnego.

L.p.	Zidentyfikowane ryzyka	Opis ryzyka i skutków
1.	Nieuprawniony dostęp do logów	Jeśli dostęp do logów nie będzie odpowiednio ograniczony, osoby nieupoważnione mogą podejrzeć treść rozmów i dane techniczne (np. adres IP). Może to prowadzić do naruszenia poufności i utraty zaufania do Spółki.
2.	Zbyt szeroki zakres logowania lub zbyt długa retencja	Utrwalenie informacji ponad to, co konieczne (np. pełne identyfikatory, dłuższe przechowywanie) zwiększa skutki ewentualnego incydentu bezpieczeństwa i oznacza przetwarzanie niezgodne z zasadą minimalizacji.
3.	Przypadkowe wpisywanie danych osobowych przez użytkowników	Użytkownik może wpisać imię, nazwisko, adres, numer klienta lub numer licznika. Dane te mogą trafić do logów. Skutkiem może być konieczność ich usuwania lub informowania o naruszeniu, jeśli dojdzie do wycieku.
4.	Przypadkowe wpisywanie danych wrażliwych	Czasami użytkownik może podać dodatkowe informacje o sytuacji zdrowotnej lub rodzinnej. Jeśli te dane utrwalą się w logach, zwiększa to poziom ryzyka i wymaga natychmiastowych działań ograniczających dalsze przetwarzanie.
5.	Błędne odpowiedzi chatbota i wprowadzanie w błąd	Chatbot może błędnie wyjaśnić procedurę lub wymagania formalne. Może to powodować frustrację, skargi użytkowników i nieprawidłowe działania po ich stronie.
6.	Ataki polegające na manipulowaniu poleceniami (prompt injection)	Osoba atakująca może próbować skłonić chatbota do ujawnienia informacji lub wykonania nieprzewidzianej czynności. Skutkiem może być ujawnienie wewnętrznych danych lub destabilizacja działania narzędzia.
7.	Ograniczona świadomość użytkowników	Jeśli użytkownik nie będzie wiedział, że chatbot nie obsługuje „spraw indywidualnych”, może próbować
8.	Brak ciągłości działania usługi	Przerwa w dostępności chatbota może utrudnić użytkownikom dostęp do informacji i zwiększyć obciążenie innych kanałów kontaktu (np. telefonicznego).

5. Środki minimalizujące ryzyko (techniczne)

Celem wdrożonych środków technicznych jest ograniczenie możliwości przypadkowego przetwarzania danych osobowych, zapewnienie kontroli nad działaniem systemu, a także zachowanie poufności i bezpieczeństwa danych przesyłanych między użytkownikiem a chatbotem.

Przed uruchomieniem chatbota oraz w trakcie jego działania zastosowane zostaną następujące rozwiązania techniczne:

Chatbot będzie miał mechanizm rozpoznawania danych osobowych (np. imię + nazwisko, numer klienta, numer licznika). Jeżeli użytkownik wpisze takie dane, chatbot wyświetli komunikat z prośbą o niepodawanie tych danych i wskaże właściwy sposób kontaktu.
Logi rozmów będą przechowywane wyłącznie w zakresie niezbędnym do utrzymania poprawnego działania systemu. Dane techniczne, takie jak identyfikator sesji lub adres IP, jeżeli zostaną zapisane na poziomie infrastruktury, podlegają automatycznej anonimizacji i nie są łączone z treścią rozmowy ani z innymi systemami Spółki.
Okres przechowywania logów będzie ograniczony do 30 dni, po czym logi będą automatycznie usuwane. Rozwiązanie to wspiera zasadę ograniczenia czasu przechowywania danych.
Dostęp do logów zostanie ograniczony wyłącznie do pracowników Działu ZI odpowiedzialnych za utrzymanie systemu.
Połączenie między użytkownikiem a serwerem będzie szyfrowane, co zabezpiecza przed przechwyceniem treści rozmowy w trakcie transmisji.

Środki organizacyjne (planowane do wdrożenia przed uruchomieniem chatbota)

Celem planowanych środków organizacyjnych jest ograniczenie ryzyka przypadkowego przetwarzania danych osobowych w logach chatbota, zapewnienie zgodności przetwarzania z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO) oraz umożliwienie realizacji praw osób, których dane mogłyby zostać nieumyślnie ujawnione w treści rozmowy.

W związku z tym przed uruchomieniem chatbota zostaną wdrożone następujące rozwiązania, zapewniające kontrolę nad sposobem działania systemu oraz ochronę danych użytkowników:

Chatbot zostanie skonfigurowany zgodnie z zasadą privacy by default – będzie działał wyłącznie w oparciu o informacje publiczne dostępne na stronie internetowej oraz w BIP i nie będzie gromadził danych identyfikujących użytkowników.
Użytkownik przed rozpoczęciem rozmowy otrzyma komunikat, że chatbot pełni wyłącznie funkcję informacyjną i nie służy do obsługi indywidualnych spraw ani przekazywania danych osobowych.
W przypadku przypadkowego wpisania danych osobowych chatbot będzie automatycznie przekierowywał użytkownika do właściwego kanału kontaktu. Log rozmowy będzie przechowywany maksymalnie 30 dni wyłącznie w celach diagnostycznych.
Dział ZI będzie prowadził regularny przegląd działania systemu (co najmniej raz na kwartał), w tym skuteczności blokad zapobiegających podawaniu danych osobowych oraz poprawności przekierowań do odpowiednich kanałów kontaktu.

Wdrożone rozwiązania są zgodne z zasadami:

minimalizacja przetwarzania (art. 5 ust. 1 lit. c RODO),
ograniczenie przechowywania (art. 5 ust. 1 lit. e RODO),
privacy by design / by default (art. 25 RODO),
rozliczalność (art. 5 ust. 2 RODO).

6. Wniosek końcowy

Na podstawie analizy procesu oraz wdrożonych środków bezpieczeństwa, ryzyko naruszenia praw i wolności osób fizycznych oceniane jest jako niskie do średniego, przy czym nie występuje ryzyko wysokie w rozumieniu art. 35 ust. 1 RODO.

Chatbot nie przetwarza danych osobowych celowo.
W przypadku podania takich danych przez użytkownika, system reaguje automatycznie, uniemożliwiając ich dalsze przetwarzanie.
Przechowywanie logów ograniczono do niezbędnych informacji, na okres 30 dni.
Dostęp do logów jest kontrolowany, a środki techniczne i organizacyjne są adekwatne do skali i celu przetwarzania.

Nie zachodzi konieczność przeprowadzenia konsultacji uprzedniej z Prezesem UODO (art. 36 RODO), ponieważ nie stwierdzono wysokiego ryzyka resztkowego.

Rekomendacje do dalszego stosowania:

W celu zapewnienia stałej kontroli nad działaniem chatbota oraz utrzymania jego zgodności z zasadami ochrony danych osobowych przewiduje się regularne przeglądy i aktualizacje rozwiązania. Raz na 30 dni będzie przeprowadzany przegląd logów oraz ewentualnych zgłoszeń od użytkowników, tak aby potwierdzić, że chatbot działa zgodnie z założeniami i nie przetwarza danych osobowych. Dodatkowo weryfikowana będzie poprawność komunikatów wyświetlanych użytkownikom, w szczególności tych, które przypominają o zakazie wprowadzania danych identyfikujących osobę. Ocena skutków dla ochrony danych (DPIA) będzie podlegała aktualizacji w przypadku planowanego rozszerzenia funkcjonalności chatbota, jego integracji z systemami wewnętrznymi Spółki lub wprowadzenia możliwości logowania użytkowników, ponieważ takie zmiany mogą wpływać na zakres i charakter przetwarzania danych.