Trudno jest zapanować nad zakresem danych udostępnianych w trakcie sesji rady gminy, powiatu lub sejmiku województwa. Te dane są potem upowszechniane i przechowywane jako nagrania po tzw. anonimizacji.

Tymczasem nie do końca jasne jest, kto odpowie za to, że podczas sesji rady lub sejmiku radny niezasadnie ujawni czyjeś dane. Czy będzie to wójt, burmistrz, prezydent, zarząd powiatu lub województwa?

Dostęp do informacji a RODO

Od 2018 roku obowiązują przepisy, zgodnie z którymi należy online transmitować obrady rady gminy, powiatu i sejmiku województwa, a potem udostępniać ich nagrania m.in. w Biuletynie Informacji Publicznej oraz w sposób zwyczajowo przyjęty.

Sprawdź w LEX: Czy zakaz zebrań w ilości powyżej 10 osób w czerwonej strefie dotyczy posiedzeń kolegialnych organów takich jak rada gminy? >

Oprócz ustaw samorządowych do posiedzeń organów kolegialnych władzy samorządowej ma jednak także zastosowanie reżim dostępu do informacji publicznej wynikający z Konstytucji oraz ustawy, której art. 5 ust 2 wprowadza ograniczenia w korzystaniu z prawa dostępu do informacji publicznej ze względu na prywatność osoby fizycznej. Zgodnie z kolei z rozporządzeniem o ochronie danych osobowych, ochronie podlegają wszystkie dane osobowe. - Wszystkie dane przetwarzane podczas sesji powinny przechodzić przez rodzaj filtru zgodności z RODO – podkreśla dr Marlena Sakowska-Baryła, radca prawny, partner w Sakowska-Baryła, Czaplińska Kancelaria Radców Prawnych Sp.p.

Czytaj w LEX: Sesje rady jst >

Niestety, jak podkreśla, jest to często bardzo utrudnione lub nawet niemożliwe. W sesji bierze udział wiele różnych osób, głównie radni, którzy zostali wybrani m.in. po to, żeby mówić w imieniu swoich wyborców. - Nie chodzi o to, aby podczas sesji nie posługiwać się danymi osobowymi, byłoby to niemożliwe, ale o to, aby dane te były niezbędne z perspektywy celu, dla którego się je wykorzystuje, co jest trudne, bo nie sposób zapanować nad tym, co podczas sesji transmitowanej on line mówią jej uczestnicy – mówi dr Marlena Sakowska-Baryła.

Sprawdź w LEX: Przez jak długi okres czasu powinny być przechowywane w BIP i na stronie internetowej urzędu nagrania z sesji rady gminy? >

Ochrona danych osobowych w warunkach pracy zdalnej

Marlena Sakowska-Baryła

Sprawdź  

Iwona Karolewska, sekretarz powiatu świeckiego, radna Rady Miejskiej w Świeciu, uczestniczka Akademii Samorządowej Fundacji Batorego i Stowarzyszenia POLITES mówi, że urząd nie ma wypływu na to, jakie dane zostaną ujawnione przez radnego podczas sesji, w trakcie bezpośredniej transmisji. To urząd jest jednak odpowiedzialny za transmisję danych, ich utrwalenie i udostępnianie w BIP. Jak dodaje, Prezes UODO zaleca, by administrator dokonał "oceny niezbędności ich ujawnienia z punktu widzenia celu informacyjnego, któremu ta publikacja ma służyć", więc przed udostępnianiem nagrania z sesji pracownik urzędu anonimizuje wypowiedzi radnych. - Problemem jest, na kim spoczywa odpowiedzialność? Z obecnych przepisów moim zdaniem wynika, że w trakcie transmisji - na radnym, a przy udostępnianiu - na urzędzie. Czy urzędnik ma prawo ingerować w wypowiedź radnego? – pyta.

Czytaj w LEX: Transmisja i utrwalanie obrad organu jednostki samorządu terytorialnego >

Anonimizacja nie jest ingerencją

Aleksander Hyżorek, associate w SMM Legal mówi, że anonimizacja nie jest ingerencją w treść protokołu czy uchwały, bo czynność ta nie pozbawia pisma waloru poznawczego i nie wpływa na czytelność przekazu. - W praktyce często zdarza się, że do rady gminy wpływa skarga na wójta złożona przez mieszkańca, która następnie odczytywana jest przez przewodniczącego rady - w takim przypadku należy odczytać jedynie dane wójta, który pełni funkcję publiczną, a pominąć dane osoby składającej skargę, które nie powinny zostać upublicznione - uważa.

Jak dodaje, w tym zakresie przyjmuje się, że cel informacyjny jest spełniony także wówczas, gdy informacja o treści uchwały rady gminy w sprawie rozpatrzenia skargi konkretnej osoby zamieszczona w BIP pomija jej dane osobowe (Wyrok NSA I OSK 620/12). 

Sprawdź w LEX: W jaki sposób należy dostosowywać nagrania z sesji rady miasta dla osób z niepełnosprawnością słuchu jak i wzroku? >

Radni słabo świadomi RODO, a szkoleń brak

Skoro rada jest administratorem danych, radni powinni wiedzieć, jakie są granice ochrony danych osobowych. Tymczasem często nie mają takiej świadomości prawnej dotyczącej zasad RODO, jak pracownicy urzędu.

Andrzej Chmielewski radny z gminy Pruszcz Gdański, uczestnik Akademii Samorządowej Fundacji Batorego i Stowarzyszenia POLITES, uważa, że jeżeli to pojedynczy radny naruszy prawo, odpowiedzialny jest on sam. - Wobec tego jedyną dostępna ochroną jest wysoka świadomość radnego o tym, jakich słów nie może wypowiedzieć - mówi. Jak dodaje, znajomość zasad RODO u radnych i urzędników wymaga poprawy.

Sprawdź w LEX: Czy protokół z sesji rady gminy może być alternatywną formą dostępu do treści multimedialnych?  >

- Niestety, radni nie odbywają szkoleń z zakresu ochrony danych osobowych. Niejednokrotnie na sesji radni lub sołtysi posługują się nazwiskami osób, w sprawie których zabierają głos. Jakiekolwiek łamanie RODO wynika jednak z niewiedzy radnych – mówi Anna Olejniczak, przewodnicząca rady gminy Świdwin, uczestniczka Akademii Samorządowej Fundacji Batorego i Stowarzyszenia POLITES.

Jak podkreśla, radni, ale także sołtysi, powinni mieć obowiązkowe szkolenia z ochrony danych osobowych, szkolenia te powinny być sukcesywnie powtarzane w celu odświeżenia wiedzy. Brak tej wiedzy wśród radnych lub sołtysów skutkuje niejednokrotnie naruszeniem danych podczas sesji. - Takie naruszenie stanowi realny problem dla prowadzącego sesję, ale przede wszystkim dla organu wykonawczego gminy – dodaje Anna Olejniczak.

Czytaj też: Z powodu RODO nie udostępniamy informacji - urzędowy dylemat między jawnością i prywatnością>>

Problem przetwarzania danych w trakcie sesji

Nagrania obrad rady podlegają obróbce i są anonimizowane w częściach obejmujących informacje nadmierne. Z wytycznych Prezesa UODO wynika jedynie, że każda sesja rady musi być prawidłowo przygotowana.  Tymczasem nawet gdy radni są pouczeni, a osoby uczestniczące przygotowane, co można mówić, a czego unikać, organizatorzy nie mają wpływu na to, że np. pojawi się na sesji sytuacja, która zagrozi ochronie danych osobowych. Podczas polemiki ktoś może np. posługiwać się czyimiś danymi osobowymi w sposób nieuprawniony.

Sprawdź w LEX: Czy wprowadzenie napisów rozszerzonych i audiodeskrypcji do nagrań sesji rady powiatu stanowi prawidłowy sposób realizacji obowiązku zapewnienia dostępności treści internetowych? >

- Dochodzimy do granic absurdu, bo podczas sesji wielokrotnie omawiane są sprawy dotyczące konkretnych osób fizycznych, z czym związane jest posługiwanie się ich danymi osobowymi. Tu zdecydowanie bardziej powinno chodzić o to, aby nie naruszać czyjejś prywatności i nie godzić w inne dobra osobiste – mówi dr Marlena Sakowska-Baryła. Jak dodaje, na gruncie RODO mamy do czynienia z „groteskową sytuacją”, kiedy właściwie użycie każdych danych w pewnych kontekstach  może prowadzić do wniosku, że naruszono zasadę minimalizacji przetwarzania, a przy założeniu, że nagrania obrad są udostępniane publicznie, także zasadę ograniczenia czasowego przechowywania danych.

Sprawdź w LEX: Czy wymienienie samego nazwiska pełnomocnika oraz skarżącego podczas rozpatrywania skargi na transmitowanej on-line sesji rady miasta można uznać za naruszenie ochrony danych osobowych? >

Wciąż nie wiadomo, kto jest administratorem

Ze sprawy Aleksandrowa Kujawskiego – pierwszej gminy, na którą Prezes UODO nałożył administracyjną karę pieniężną za nieprawidłowe przetwarzanie danych osobowych - wynika, że Prezes UODO za administratora danych przetwarzanych podczas sesji rad uznaje organ wykonawczy.

Jak mówi dr Marlena Sakowska-Baryła, to zrozumiałe w przypadku BIP, bo zamieszczanie w nim danych i związane z tym ich zabezpieczanie to czynność wykonawcza. Nie jest jednak już takie jednoznaczne w przypadku działań związanych z sesją rady. Część ekspertów stoi na stanowisku, że rada jest tu administratorem. Jest tu jednak problem z ustaleniem administratora, biorąc pod uwagę ponoszenie odpowiedzialności. - Zgodnie z zasadami prawa cywilnego, odpowiedzialna może być tu osoba prawna czyli gmina. Jeśli natomiast chodzi o odpowiedzialność administracyjnoprawną, w tym kary pieniężne za naruszenie ochrony danych, prezes UODO nie ma problemu z ustaleniem, czy administratorem jest wójt czy rada, bo nie ma tu ograniczeń proceduralnych, jakie można dostrzec na gruncie kpc – mówi. I dodaje, że w przypadku decyzji Prezesa Urzędu Ochrony Danych Osobowych jej adresatem może być organ władzy publicznej jako administrator, bo podstawę do tego znajdziemy w art. 4 pkt 7 RODO.

Czytaj w LEX: Strategie rozwoju JST >

Luka w prawie?

Problem z usystematyzowaniem odpowiedzialności organów nie jest rozwiązany w przepisach krajowych, gdzie konkretnie należałoby wskazać administratora tam, gdzie jego wyodrębnienie sprawia problem. Wtedy, kiedy zaczęło obowiązywać RODO, nie ustalono samorządom granic, w ramach których mają działać przy publikacji i przechowywaniu nagrań z sesji w kontekście ochrony danych osobowych.

W przypadku samorządu mamy do czynienia z jednej strony z organem wykonawczym, który dysponuje zasobem kadrowym i finansami, a po drugiej stronie - z organem uchwałodawczym, który ich do dyspozycji nie ma. - Tak naprawdę rada gminy czy powiatu nie decyduje o tym, gdzie dane są przechowywane, łatwiej jest więc ustalić administratorem organ wykonawczy, ale patrząc z szerszej perspektywy, powinna być to gmina, co należałoby zapisać w przepisach – mówi dr Marlena Sakowska-Baryła.

Jak dodaje, skoro takiego przepisu nie ma, to możliwe jest kwalifikowanie w taki sposób poszczególnych organów, co sprawia, że każdy przypadek należy rozwiązywać odrębnie. Pomimo podobnych stanów faktycznych możliwa jest odmienna interpretacja - w zależności od tego, jak ocena przebiega w dwóch identycznych co do struktury gminach, odmiennie rozróżnieni są  administratorzy, których w obrębie jednego urzędu można wyróżnić kilku.

Czytaj w LEX: Rozpatrywanie skarg, wniosków i petycji przez rady jst - komisja skarg, wniosków i petycji >

Pozwana będzie gmina

Aleksander Hyżorek mówi, że pojawiały się już sprawy, w których obywatele inicjowali drogę postępowania sądowego w związku z naruszeniem ich danych osobowych przez samorząd. W takim postępowaniu, niezależnie od tego, czy upublicznienia danych dokonał organ wykonawczy, czy uchwałodawczy gminy, pozwana będzie dana gmina.

- Skutkiem opublikowania danych osobowych obywatela bez anonimizacji - chyba, że obywatel wyrazi zgodę na ich upublicznienie - mogą być jego roszczenia z art. 24 k.c., które będą uzasadnione, bo ingerencja w dobra osobiste osoby fizycznej będzie bezprawna - mówi.