facebook RSS # #

20.01.2020 04:39

Polska Agencja Prasowa Serwis Samorządowy
 
2019-12-09 16:08       aktualizacja: 2019-12-10 12:15       WIADOMOŚCI
  A A A

Jak transmitować. Transmisje sesji rad, a RODO

Jak transmitować. Transmisje sesji rad, a RODO
Fot. UODO
Jak transmitować posiedzenia rad gmin czy powiatów nie naruszając przepisów o ochronie danych? Gdzie publikować nagrania z tych sesji i jak długo je udostępniać - na te i wiele innych pytań odpowiada w rozmowie z Serwisem Samorządowym PAP dyrektor Departamentu Orzecznictwa i Legislacji w Urzędzie Ochrony Danych Osobowych Monika Krasińska.

Serwis Samorządowy PAP: Temat transmisji posiedzeń rad gmin czy powiatów rodzi wiele wątpliwości. Także w świetle niedawnej kary nałożonej przez Prezesa UODO na burmistrza Aleksandrowa Kujawskiego w komentarzach czytelników Serwisu Samorządowego PAP pojawiają się pytania jak wypełnić obowiązek tej transmisji nie naruszając przepisów o ochronie danych.

Monika Krasińska - dyrektor Departamentu Orzecznictwa i Legislacji w UODO
: Żeby transmisja i nagrywanie oraz późniejsze udostępnianie nagrań z posiedzeń kolegialnych organów jednostek samorządowych odbywało się z poszanowaniem zasad ochrony danych osobowych, administrator musi cały proces przetwarzania danych odpowiednio i dokładnie zaprojektować.

Ważne przy tym będzie np. ustalenie, jakiego rodzaju dane osobowe będą w czasie obrad przetwarzane - czy będą to wyłącznie dane osób piastujących funkcje publiczne, czy będzie dochodziło do przetwarzania danych osób prywatnych, czy będą to wyłącznie dane zwykłe, czy również szczególne kategorie danych. Inne będą bowiem rodzaje ryzyk, jakie będą towarzyszyły przetwarzaniu danych radnych, czy wójta lub burmistrza zabierających głos w czasie sesji, a inne, gdy rada będzie rozpatrywała skargę obywatela z niepełnosprawnością, co będzie się wiązało z omawianiem stanu jego zdrowia.

Znaczenie będzie też miało np. to, jak ustawimy kamery, kiedy będą one pracować. Czy będą wówczas rejestrować tylko wizerunki osób pełniących funkcje publiczne, czy także publiczność, a więc i osoby prywatne. Czy na czas przerw w obradach będą wyłączane, czy nie.

Trzeba bowiem pamiętać, że zapewnianie dostępu do informacji publicznej poprzez transmisję i udostępnianie nagrań z obrad musi się odbywać z poszanowaniem wszystkich zasad określonych w RODO, w tym legalizmu, adekwatności, minimalizacji czy ograniczenia czasowego (retencji).

Każda jednostka samorządu terytorialnego stoi też przed poważnym wyzwaniem, jakim jest zapewnienie bezpieczeństwa danych przetwarzanych w związku z transmisją, utrwalaniem i udostępnianiem nagrań z posiedzeń jej kolegialnych organów.

Obowiązujące przepisy stanowią, że nagrania obrad są udostępniane w Biuletynie Informacji Publicznej i na stronie internetowej jednostki samorządu terytorialnego oraz w inny sposób zwyczajowo przyjęty. Ustawodawca w sposób szczególny wyróżnił więc Biuletyn Informacji Publicznej oraz strony internetowe jednostki samorządu terytorialnego, co do zasady wskazując je jako docelowe miejsca publikacji nagrań. Oznacza to, że zarówno transmisja, jak i udostępnienie w Internecie nagrań posiedzeń kolegialnych organów jednostek samorządu terytorialnego powinno zatem następować z wykorzystaniem przede wszystkim tych właśnie publikatorów. I choć jednostki samorządu terytorialnego mają możliwość skorzystania również z innych rozwiązań w tym zakresie (np. z narzędzia jakim jest scentralizowany system dostępu do informacji publicznej prowadzony przez Ministerstwo Cyfryzacji), to powinny to robić jedynie w przypadku, gdy miejsce publikacji nagrania umożliwia im jako administratorowi pełną kontrolę nad danymi osobowymi i realizację wynikających z RODO obowiązków, takich jak np. aktualizacja danych, ich usunięcie czy sprostowanie.

Nie wolno przy tym zapominać o zawarciu umowy powierzenia przetwarzania danych, której postanowienia pozwolą mu tę kontrolę zachować np. w przypadku obsługi technicznej BIP przez podmioty trzecie.

Publikacja nagrań zawierających dane osobowe na stronach innych podmiotów niż administratorzy tych danych, np. podmiotów prywatnych wykorzystujących do przetwarzania danych tzw. chmurę, może się wiązać z wieloma zagrożeniami, np. brakiem kontroli nad danymi oraz niewystarczającymi informacjami dotyczącymi samej operacji przetwarzania. Dlatego tak ważne jest, by przed skorzystaniem z konkretnego rozwiązania, oszacować proces przetwarzania danych osobowych pod kątem istniejących ryzyk.

Należy pamiętać, że to administrator ma sprawować kontrolę nad całym procesem przetwarzania danych osobowych i zgodnie z zasadą rozliczalności, być w stanie wykazać, że przestrzega obowiązujących w RODO zasad.

Serwis Samorządowy PAP: kontrowersje budzi m.in. kwestia zamieszczania nagrań w popularnym serwisie internetowym YouTube. Częścią uzasadnienia decyzji nakładającej karę finansową dla burmistrza Aleksandrowa Kujawskiego był zresztą fakt, że nagrania z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube.

Monika Krasińska: W tym przypadku zasadniczym problemem był brak analizy ryzyka związanego z korzystaniem przez burmistrza z kanału YouTube i przechowywaniem nagrań sesji rady miasta wyłącznie na serwerach właściciela tego serwisu. Decydując się na wykorzystanie jedynie takiego kanału, nie wzięto pod uwagę wszystkich zagrożeń związanych z publikacją i przechowywaniem tam nagrań, np. tego, że podmiot prowadzący wskazany serwis ma siedzibę w państwie trzecim, a zyskał wyłączny dostęp do całości danych osobowych dostępnych na tych nagraniach, a tym samym wyłączne władztwo nad tymi danymi. Nie przeanalizowano ryzyka związanego z utratą danych zamieszczonych na tym kanale w sytuacji nieposiadania własnych kopii zapasowych.

Tymczasem dzięki przeprowadzeniu analizy ryzyka administrator może dokonać szczegółowej inwentaryzacji prowadzonych procesów przetwarzania danych i ocenić ryzyka, na jakie przetwarzanie danych w konkretnym przypadku jest narażone oraz dobrać odpowiednie do niego zabezpieczenia. Takie podejście umożliwia skoncentrowanie się na sytuacjach najwyższego ryzyka, przy jednoczesnym zachowaniu odpowiedniego poziomu ochrony, gdy to ryzyko jest niskie i nie wymaga zastosowania wielu skomplikowanych środków służących ochronie danych.

Inne środki należałoby bowiem zastosować, gdyby na sesji rady gminy przetwarzane były wyłącznie dane zwykłe lub dane osób piastujących funkcje publiczne, a podczas posiedzenia omawiane byłyby jedynie tematy ogólne, np. budżet jednostki, a inne, gdyby radni debatowali nad wnioskiem pochodzącym np. od osoby niepełnosprawnej. Inne ryzyka rodzi zapewnianie dostępu do informacji publicznej poprzez własne serwisy i urządzenia, nad którymi administrator ma pełną kontrolę, a inne gdy np. transmisji obrad realizowałby podmiot zewnętrzny.

Serwis Samorządowy PAP
: Czy taką analizę ryzyka wystarczy przeprowadzić raz - jako stały model publikowania np. nagrań z posiedzeń rady gminy - czy też dla każdego publikowanego nagrania?

Monika Krasińska: Taka analiza powinna być przeprowadzona dla całego procesu, a proces przetwarzania danych musi być oceniany w sposób ciągły. Nie wystarczy, że raz stworzymy dokumentację, jednorazowo poinformujemy o zasadach przetwarzania danych i na tej podstawie uznamy, że osiągnęliśmy zgodność z RODO. Ciągłość analizy procesu przetwarzania danych osobowych pod kątem oceny ryzyk, jakie się z nim wiążą, ma charakter fundamentalny. Konieczność nieustannej oceny jest spowodowana m.in. szybkimi zmianami technologicznymi, pojawianiem się nowych zagrożeń, czy choćby zmianami warunków świadczenia usług, z których się korzysta.

Serwis Samorządowy PAP: Czytelnicy pytają też w komentarzach, jak mają usunąć dane wrażliwe podczas transmisji z sesji; o ile "wypikanie" danych w nagraniu archiwalnym nie budzi wątpliwości, rodzą się pytania, jak zrobić to podczas relacji na żywo?

Monika Krasińska
: Proszę pamiętać, że dostęp do informacji publicznej nie oznacza automatycznego dostępu do danych osobowych. Wynika to z ogólnych zasad prawa dostępu do informacji publicznej. Aby za pomocą transmisji obrad i udostępnienia nagrań zapewnić nam prawo dostępu do informacji publicznej, a jednocześnie ochronić sferę prywatności koniecznym wręcz będzie nierozpowszechnianie określonych danych i to nie tylko należących do kategorii szczególnych. W przestrzeni publicznej nie powinny być ujawniane nie tylko dane o stanie zdrowia, nałogach, czy wyznaniu, ale również informacje dotyczące np. miejsca zamieszkania, numeru PESEL, czy dokładnych danych z PIT.

Są różne rozwiązania, które administratorzy stosują, by chronić dane osobowe przed dostępem osób nieuprawnionych. To może być transmisja z opóźnieniem, by dane zbędne, nieadekwatne można było wyeliminować. Niektórzy niezwłocznie po przeprowadzeniu transmisji na żywo usuwają nieadekwatne dane osobowe i nagranie przechowywane w sieci już ich nie zawiera.

RODO nie narzuca konieczności stosowania określonych rozwiązań. Daje administratorom dużą samodzielność w tym zakresie. Ważne, by byli w stanie wykazać, że przyjęte rozwiązania są adekwatne do skali ryzyka i zgodne z aktualnym stanem wiedzy.

Serwis Samorządowy PAP: Jest jeszcze kwestia retencji - jak długo należy udostępniać np. nagranie z sesji rady gminy?

Monika Krasińska
: Jeżeli ustawodawca określił w aktach prawnych okres, po którym dane mają być usuwane, to administrator musi przestrzegać tych terminów. Jeśli jednak w przepisach brak jest szczegółowych regulacji w tym zakresie, administrator ma obowiązek samodzielnie określić okres retencji danych, stosując się do wynikającej z RODO zasady ograniczenia przechowywania.

Jak to zrobić w praktyce? Ustalając cel, jakiemu służy przetwarzanie danych. Gdy cel zostanie osiągnięty, dane powinny zostać usunięte. Trzeba bowiem pamiętać, że biuletyn informacji publicznej powinien być miejscem, w którym informujemy o różnego rodzaju działaniach, mających związek z szeroko pojmowaną sferą życia publicznego, ale nie może być to przestrzeń bezterminowego przechowywania danych osobowych. To nie jest archiwum.

UODO nie narzuca określonych wzorów postępowania, ale oczekuje od administratora przedstawienia argumentów, które przemawiają za przyjęciem określonych rozwiązań i wykazania spełnienia wynikających z RODO zasad, takich jak: zgodność z prawem, rzetelność i przejrzystość, celowość, minimalizacja danych, prawidłowość, integralność czy poufność.

Musimy o tym pamiętać, że administrator, decydując się na wybór określonych rozwiązań, cały czas odpowiada za realizację celu określonego przez ustawodawcę.

Serwis Samorządowy PAP:
Na co jeszcze warto zwrócić uwagę samorządów z punktu widzenia UODO?

Monika Krasińska:
Oceniając procesy przetwarzania danych osobowych i przekazywanie informacji za pośrednictwem serwisów będących własnością innych administratorów musimy pamiętać o tym, że rozwój nowoczesnych technologii wymusza na nas dokonanie szczególnej oceny związanych z tym ryzyk, ale przede wszystkim oceny ról podmiotów występujących w tych procesach.

Analizując te role należy też brać pod uwagę orzecznictwo Trybunału Sprawiedliwości UE, który kierunkowo pokazuje, jakie role pełnią określone podmioty funkcjonujące w przestrzeni internetu.

Jako przykład podam wyrok, który odnosi się do dookreślenia roli administratora fanpage'a prowadzonego na Facebooku. TSUE wskazał w nim, że podmiot, który zakłada taki fanpage nie może unikać odpowiedzialności za proces przetwarzania danych osobowych, ale również i Facebook jest administratorem pozyskanych w ten sposób danych osobowych. Ocena zachodzących relacji jest punktem wyjściowym dla właściwego ukształtowania całej polityki ochrony danych osobowych, w tym dla realizacji obowiązku informacyjnego, realizacji praw podmiotów danych, prowadzenia rejestrów, o których mowa w RODO, czy zgłaszaniu naruszeń organowi nadzorczemu. We wszystkie działania związane z budowaniem optymalnej dla ochrony danych osobowych przestrzeni powinien być włączany Inspektor Ochrony Danych, jako fachowy doradca dysponujący odpowiednia wiedzą i doświadczeniem. Budowanie coraz wyższych standardów ochrony danych osobowych leży w interesie każdego administratora z uwagi na coraz wyższą świadomość i oczekiwania osób, których dane dotyczą. Wartość naszych danych stale rośnie.

Dziękuję za rozmowę

Rozmawiała Joanna Balcer
TAGI:
 
KOMENTARZE: 10 PRZEJDŹ NA FORUM

DODAJ SWÓJ KOMENTARZ

 
2019-12-10 21:08:24
xxxx: A co z pracownikami? Jeżeli się nie zgadzam na publikację mojego wizerunku to mam się zwolnić z pracy?
 
2019-12-10 18:50:05
mistrz ioda: Zacznijmy od początku czyli podstawa prawna transmisji sesji w Internecie ?? Ustawa o samorządzie gminny nakłada obowiązek zapewnienia transmisji sesji i udostępnienia nagrania w BIP-ie, stornie internetowej i sposób zwyczajowo przyjęty. W związku z tym spełnieniem w/w obowiązku będzie wystawienie telewizora lub laptopa poza pomieszczenie gdzie jest sesja i jej transmisja na tym urządzeniu, a dopiero po sesji umieszczenie nagrania w BIP-ie. 95 % samorządów poszło w YT ze względów finansowych i tyle. Polski prawodawca po raz kolejny nałożył obowiązki zapominając o kosztach i mamy skutki :( A co do kary do wskazanie że przez brak kopii zapasowej Administrator nie zapewnił poufność danych to ja się pytam jak zapewnić poufność danych powszechnie dostępnych ?????????
 
2019-12-10 13:33:04
Marcin - informatyk gminny: A może tak konkretne przykłady? W jaki sposób mam zabezpieczyć transmisję, by nie dało się jej nagrać i potem w żaden sposób przetwarzać? Jak mam udostępnić nagraną już sesję, by nie dało się jej przetworzyć? Jak zabezpieczyć przez nieuprawnionym wykorzystaniem wizerunku radnych? Ciekawe, czy ta Pani zdaje sobie sprawę, że w niektórych miastach sesja jest przerywana w momencie, gdy zachodzą problemy z transmisją on-line? To co ta Pani mówi jest nie do zrealizowania. Ocena ryzyka... Śmieszne. Mam oceniać radnych pod kątem możliwości ujawnienia przez nich danych osobowych? Mam przed każdą sesją pytać każdego, czy ma zamiar podać takie dane? Kto prowadzi sesję? Operator kamer czy przewodniczący? Dochodzimy do absurdów. Każdy składający skargę, pismo lub cokolwiek na ręce rady powinien i musi się z tym liczyć, że w tym momencie staję się po części jego sprawa publiczną. Nie wyraża zgody na nagrywanie? Nie rozpatrujemy sprawy. Śmieszne jest to, co ta Pani wygaduje. Widać gołym okiem brak doświadczenia w pracy w samorządzie. I to na tym najniższym szczeblu. W gminach. Witki po prostu opadają...
 
2019-12-10 11:23:20
obserwator: Pani Karasińska proponuje " To może być transmisja z opóźnieniem ..." ale to już nie jest transmisja na żywo czyli następuje złamanie ustawy. Wiadomo że wszystkie jednostki samorządowe mają jednakowy obowiązek transmisji to może Prezes ODO przedstawił by kompletny konkretny szablon postępowania z transmisją obrad łącznie z przykładową analiza ryzyka dla transmisji na YouTube i wytycznymi co do czasu publikacji sesji w BIP np. 6 miesięcy albo rok albo 100lat. Mówienie, że każdy sobie rzepkę skrobie na bazie państwa prawa a my to później według swoich nie jasnych kryteriów sprawdzimy rodzi wiele wątpliwości co do poprawności interpretacji przez kontrolujących. Uważam że to MC powinno udostępnić samorządom bezpłatny serwer do zamieszczania nagrań z sesji i być odpowiedzialnym za nie, oczywiście na podstawie umowy powierzenia DO i było by w 99% po sprawie. A tak jest niezłe pole do popisu przez kontrolujących.
 
2019-12-10 10:42:04
informatyk: Cóż za bzdury opowiada Pani DYREKTOR!
Pani dyrektor, czy rozumie co to znaczy "transmisja online"? To nie jest nagranie przetworzone, to nie jest opóźnienie z dołożonymi pipami, to też nie jest natychmiastowe pipanie w transmisji bieżącej. Online to online - jak powiedzieli, tak poleciało. To fakt zaistniały, stało się, powiedział, poleciało i nic z tym nie zrobimy "w locie".
Tutaj prawo jest oczywiste i choćby było najgłupsze, to nie ma co z nim dyskutować, bo jest. Pozostaje je jedynie zmienić.
Co innego gdyby uznać, że transmisja kończy się wraz z zakończeniem sesji i potem można już oglądać jedynie przetworzoną retransmisję gdzieś udostępnioną, na której administrator dodał pipy. Niemniej za "online" administrator nijak odpowiadać nie może, bo to nie on ujawnia dane, a konkretna osoba - radny, wójt, gość itp.
Ale... transmisję bez najmniejszego problemu każdy może nagrywać i dalej to udostępniać, a w internecie mało co może zaginąć.
To, co Pani Dyrektor proponuje jest jawnym łamaniem prawa byle dostosować się do innego prawa - głupszego niż nakazujące transmisję.
Bo wiecie... szanowne UODO... strasznie chcecie chronić moje dane, ale macie głęboko w .... zapytanie mnie o to, czy ja w ogóle chcę aż takiej ochrony i czy jest ona do czegokolwiek potrzebna.
 
2019-12-10 08:49:08
Jupiter: 1. Każdy ma prawo do uczestnictwa na sesji oraz wypowiadania się i jest informowany o tym, że sesja jest nagrywana. Nie może rościć sobie prawa do skasowania swojej wypowiedzi lub wizerunku z uwagi na RODO.
2. Nie istnieje cenzura podczas transmisji sesji. Jeżeli np. radny podałby dane osobowe on osobiście odpowiada za ich ujawnienie.
3. Wykonanie zmian w opublikowanym materiale po jego emisji jest bez sensu ponieważ materiał jest już poza wszelką kontrolą.
4. Szanowna pani ekspert chciałbym zobaczyć pani analizę ryzyka dot. YouTube odnośnie zabezpieczeń transmisji i przechowywania filmów. Proszę to skonfrontować z pierwszą z brzegu firmą z Polski może dojdzie pani do ciekawych wniosków.
 
2019-12-10 08:40:24
om: Chwileczkę. Nawet przed wejściem w życie ustawy o "studiu telewizyjnym w każdym biurze rady", sesje były całkowicie jawne. Każdy, kto chciał, mógł na nie przychodzić, robić notatki, nawet nagrywać. Uważam więc, że z punktu widzenia jawności danych osobowych, obowiązkowa transmisja niewiele zmienia. Obecnie przetwarza się na sesjach takie same dane jak kiedyś. Stopień ich ujawnienia jest dziś większy, dochodzą kwestie ich przetwarzania przez podmioty z państw trzecich itd., ale nie jest tak, że wcześniej dane osobowe na sesji były jakoś szczególnie chronione, bo nie były (a jeśli były, to transmisja nie stwarza ryzyka). Zasadniczy problem nie urodził się teraz. Co najwyżej zwiększył swą skalę.
 
2019-12-10 08:31:54
Mszczuj: No i p. Krasińska dużo powiedziała, ale podejrzewam, że w dalszym ciągu nikt nic z tego nie wie. Tylko analiza ryzyka i analiza ryzyka, czyli bełkot na dwie kartki papieru załatwia całą sprawę. Typowa unijna nowomowa. Bezsens.
 
2019-12-10 07:23:08
Paranoja: Dla widzów na sali posiedzeń przewiduje się zastosowanie urządzenia kasującego jedną minutę pamięci - takiego jak w filmie Men in Black. Proszę to uwzględnić w przyszłorocznych budżetach.
 
2019-12-09 18:57:58
ml: Co z tego wynika, że trzeba robić tak, że nikt nie wie jak. Z tych odpowiedzi wynika tylko tyle, że ta Pani wie, że nic nie wie. Róbcie róbcie a was kiedy sprawdzimy.
 
newsletter

TAGI

PARTNERZY 


  Związek Gmin Wiejskich  

KONTAKT
Polska Agencja Prasowa SA
ul. Bracka 6/8, 00-502 Warszawa
Tel.: (+48 22) 509 22 22
Faks: (+48 22) 509 22 34
REDAKCJA SERWISU SAMORZĄDOWEGO PAP
ul. Bracka 6/8, 00-502 Warszawa
Tel.: (22) 509 29 25
Faks: (22) 509 23 72, (22) 509 22 20
e-mail: samorzad@pap.pl
e-mail klubowy: klub@pap.pl
DZIAŁ SPRZEDAŻY I OBSŁUGI KLIENTA
Rafał Szafrański
Tel.: (22) 509 27 03
Kom.: 722 202 428
r.szafranski@pap.pl
PAP Copyright © PAP SA 2013 .
Redakcja  |  O portalu  |  Licencje  |  Polityka Prywatności  |  v 1.4.25