Ochronę danych osobowych należy zapewnić na każdym etapie ich przetwarzania, w tym udostępniania, zapewniając jednocześnie prawo do informacji publicznej – podkreśla Prezes Urzędu Ochrony Danych Osobowych.
Konstytucyjne prawo dostępu do informacji publicznej
Prezes Urzędu Ochrony Danych Osobowych zwraca uwagę, że przy realizacji konstytucyjnego prawa dostępu do informacji publicznej przez kolegialne organy jednostek samorządu terytorialnego, konieczne jest zachowanie procedur pozwalających na ochronę danych osobowych. Są one określone w przepisach rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietna 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - RODO.
Zgody nie trzeba
W obradach rad i sejmików uczestniczą osoby publiczne, osoby realizujące zadania publiczne i osoby fizyczne nieposiadające takiego statusu. Przetwarzanie danych wszystkich tych osób w związku z ich uczestnictwem w obradach nie wymaga pozyskania ich zgody, gdyż przesłanką uprawniającą do ich przetwarzania jest niezbędność takiego działania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO), w związku z realizacją zasady dostępu do informacji publicznej. Administrator powinien jednak pamiętać, że równocześnie zobowiązany jest zagwarantować spełnienie pozostałych zasad wynikających z RODO (art. 5 ust. 1 RODO).
Czytaj też: Brak transmisji z obrad rady narusza prawo, nawet gdy gmina jest biedna
Analiza ryzyka
Według PUODO odpowiednia ochrona danych osobowych powinna być poprzedzona analizą ryzyka uwzględniającą m.in. rodzaje danych, w tym szczególne kategorie danych, przetwarzanych w czasie obrad organów kolegialnych jednostek samorządu terytorialnego, a także czynności przetwarzania.
Metodą mogącą wspomóc wypracowanie odpowiednich rozwiązań jest uwzględnienie poszczególnych etapów działań, które administrator powinien przeanalizować, by zapewnić odpowiedni poziom ochrony danych osobowych przetwarzanych przez organy kolegialne jednostek samorządu terytorialnego.
Konieczne jest odpowiednie zaplanowanie pracy organów kolegialnych. Ważne jest zarówno to, na jakim forum będzie np. prowadzona debata publiczna, podczas której dochodzi do przetwarzania danych osobowych, jak i zakres oraz sposób przetwarzania danych. Podjęcie właściwych.
Administrator musi rozważyć, które posiedzenia komisji ujawnić
Obrady kolegialnych organów jednostek samorządu terytorialnego są transmitowane i utrwalane za pomocą urządzeń rejestrujących obraz i dźwięk, to już posiedzenia kolegialnych organów pomocniczych (np. komisji rady gminy), jak wynika z art. 18 ust. 2 ustawy o dostępie do informacji publicznej, są jawne i dostępne, o ile stanowią tak przepisy ustaw albo akty wydane na ich podstawie lub gdy organ pomocniczy tak postanowi.
Administrator - planując przebieg obrad - powinien ocenić, czy informacje i tematyka obrad będą wymagały ujawnienia danych osobowych osób fizycznych ze szczególnym uwzględnieniem kategorii danych wskazanych w art. 9 i 10 RODO. Przykładowo, inny poziom zagrożeń będzie towarzyszyć debacie na temat budżetu jednostki samorządu terytorialnego, a inny obradom poświęconym rozpatrzeniu skargi niepełnosprawnego mieszkańca.
Kamery na radnych
Podczas planowania sposobu transmitowania obrad samorządowych organów kolegialnych należy uwzględnić odpowiednie ustawienie kamer, tak by obejmowały one swoim zasięgiem przede wszystkim osoby publiczne lub osoby realizujące zadania publiczne biorące udział w obradach.
Istotne jest zminimalizowanie zakresu danych pozyskiwanych w związku z transmisją także poprzez jej wstrzymanie w przerwach obrad. Pozyskiwane podczas transmisji dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane, zgodnie z zasadą minimalizacji danych wynikającą z art. 5 ust. 1 lit. c RODO.
Administrator, planując transmisje i nagrywanie obrad, powinien również zapewnić odpowiednie szkolenia nie tylko dla osób wchodzących w skład samorządowych organów kolegialnych, ale także dla osób odpowiedzialnych za techniczną obsługę obrad.
Zapewnienie rzetelnej realizacji obowiązku informacyjnego
Administrator powinien uwzględnić faktyczną możliwość zapoznania się z informacjami przez odbiorców komunikatu (np. dostępność do Internetu osób starszych). Osoby uczestniczące w obradach, przed rozpoczęciem tych obrad, powinny zostać poinformowane także o samym fakcie i miejscu transmisji obrad oraz miejscu udostępnienia nagrania wraz ze wskazaniem okresu przechowywania znajdujących się w nagraniach danych osobowych. Informacje na ten temat powinny być upublicznione też np. przed wejściem na salę obrad czy też poprzez odczytanie na początku sesji.
Zapewnienie właściwego sposobu transmisji, utrwalania i udostępniania w Internecie
PUODO podkreśla, że obowiązek upublicznienia nagrań w BIP i na stronach internetowych nie oznacza prawa do ujawnienia wszystkich danych osobowych przetwarzanych na posiedzeniu kolegialnych organów. Administrator powinien dokonać oceny niezbędności ich ujawnienia z punktu widzenia celu informacyjnego.
Niekiedy konieczna będzie pełna anonimizacja danych, zgodnie z zasadą minimalizacji danych wynikającą z art. 5 ust. 1 lit. c RODO. Zasada ta powinna być wdrażana również poprzez zastosowanie odpowiednich rozwiązań organizacyjnych i technicznych (pseudonimizacja).
Gdzie nagrania są udostępniane?
Nagrania obrad są udostępniane w Biuletynie Informacji Publicznej i na stronie internetowej jednostki samorządu terytorialnego oraz w inny sposób zwyczajowo przyjęty. Publikacja nagrań zawierających dane osobowe na stronach innych podmiotów niż ich administratorzy, np. podmiotów prywatnych wykorzystujących do przetwarzania danych tzw. chmurę, może się wiązać z wieloma zagrożeniami, np. brakiem kontroli nad danymi oraz niewystarczającymi informacjami dotyczącymi samej operacji przetwarzania.
Przepisy dopuszczają możliwość udostępniania nagrań „w inny sposób zwyczajowo przyjęty”, jednak nie oznacza to, że administrator ma dowolność w przypadku doboru sposobu udostępniania nagrań zawierających dane osobowe. Odpowiada on bowiem za bezpieczeństwo przetwarzania tych danych na podstawie przepisów RODO.
Odpowiednie procedury bezpieczeństwa nagrań
Administrator, realizując zasadę integralności i poufności wskazaną w art. 5 ust. 1 lit. f RODO, powinien zapewnić również bezpieczeństwo znajdujących się na nagraniach danych osobowych celem wyeliminowania ryzyka nieuprawnionej ingerencji w ich treść, ich zmiany lub nawet zamiany całego pliku.
Projektując procedury postępowania w związku z transmisją i nagrywaniem, a także dalszym udostępnianiem nagrań dotyczących obrad kolegialnych organów jednostek samorządu terytorialnego, administrator musi również wziąć pod uwagę sytuacje, w których poszczególne czynności w trakcie ww. procesów przetwarzania danych będą wykonywane przez inne podmioty, którym powierzono to zadanie (np. firmy zatrudnione do nagrywania posiedzeń, firmy obsługujące strony internetowe).
Piątym etapem jest dokonanie analizy okresu przetwarzania danych zawartych w nagraniach zamieszczonych w Internecie.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
