Jak transmitować posiedzenia rad gmin czy powiatów nie naruszając przepisów o ochronie danych? Gdzie publikować nagrania z tych sesji i jak długo je udostępniać - na te i wiele innych pytań odpowiada w rozmowie z Serwisem Samorządowym PAP dyrektor Departamentu Orzecznictwa i Legislacji w Urzędzie Ochrony Danych Osobowych Monika Krasińska.

Serwis Samorządowy PAP: Temat transmisji posiedzeń rad gmin czy powiatów rodzi wiele wątpliwości. Także w świetle niedawnej kary nałożonej przez Prezesa UODO na burmistrza Aleksandrowa Kujawskiego w komentarzach czytelników Serwisu Samorządowego PAP pojawiają się pytania jak wypełnić obowiązek tej transmisji nie naruszając przepisów o ochronie danych.

Monika Krasińska - dyrektor Departamentu Orzecznictwa i Legislacji w UODO: Żeby transmisja i nagrywanie oraz późniejsze udostępnianie nagrań z posiedzeń kolegialnych organów jednostek samorządowych odbywało się z poszanowaniem zasad ochrony danych osobowych, administrator musi cały proces przetwarzania danych odpowiednio i dokładnie zaprojektować.

Ważne przy tym będzie np. ustalenie, jakiego rodzaju dane osobowe będą w czasie obrad przetwarzane - czy będą to wyłącznie dane osób piastujących funkcje publiczne, czy będzie dochodziło do przetwarzania danych osób prywatnych, czy będą to wyłącznie dane zwykłe, czy również szczególne kategorie danych. Inne będą bowiem rodzaje ryzyk, jakie będą towarzyszyły przetwarzaniu danych radnych, czy wójta lub burmistrza zabierających głos w czasie sesji, a inne, gdy rada będzie rozpatrywała skargę obywatela z niepełnosprawnością, co będzie się wiązało z omawianiem stanu jego zdrowia.

Znaczenie będzie też miało np. to, jak ustawimy kamery, kiedy będą one pracować. Czy będą wówczas rejestrować tylko wizerunki osób pełniących funkcje publiczne, czy także publiczność, a więc i osoby prywatne. Czy na czas przerw w obradach będą wyłączane, czy nie.

Trzeba bowiem pamiętać, że zapewnianie dostępu do informacji publicznej poprzez transmisję i udostępnianie nagrań z obrad musi się odbywać z poszanowaniem wszystkich zasad określonych w RODO, w tym legalizmu, adekwatności, minimalizacji czy ograniczenia czasowego (retencji).

Każda jednostka samorządu terytorialnego stoi też przed poważnym wyzwaniem, jakim jest zapewnienie bezpieczeństwa danych przetwarzanych w związku z transmisją, utrwalaniem i udostępnianiem nagrań z posiedzeń jej kolegialnych organów.

Obowiązujące przepisy stanowią, że nagrania obrad są udostępniane w Biuletynie Informacji Publicznej i na stronie internetowej jednostki samorządu terytorialnego oraz w inny sposób zwyczajowo przyjęty. Ustawodawca w sposób szczególny wyróżnił więc Biuletyn Informacji Publicznej oraz strony internetowe jednostki samorządu terytorialnego, co do zasady wskazując je jako docelowe miejsca publikacji nagrań. Oznacza to, że zarówno transmisja, jak i udostępnienie w Internecie nagrań posiedzeń kolegialnych organów jednostek samorządu terytorialnego powinno zatem następować z wykorzystaniem przede wszystkim tych właśnie publikatorów. I choć jednostki samorządu terytorialnego mają możliwość skorzystania również z innych rozwiązań w tym zakresie (np. z narzędzia jakim jest scentralizowany system dostępu do informacji publicznej prowadzony przez Ministerstwo Cyfryzacji), to powinny to robić jedynie w przypadku, gdy miejsce publikacji nagrania umożliwia im jako administratorowi pełną kontrolę nad danymi osobowymi i realizację wynikających z RODO obowiązków, takich jak np. aktualizacja danych, ich usunięcie czy sprostowanie.

Nie wolno przy tym zapominać o zawarciu umowy powierzenia przetwarzania danych, której postanowienia pozwolą mu tę kontrolę zachować np. w przypadku obsługi technicznej BIP przez podmioty trzecie.

Publikacja nagrań zawierających dane osobowe na stronach innych podmiotów niż administratorzy tych danych, np. podmiotów prywatnych wykorzystujących do przetwarzania danych tzw. chmurę, może się wiązać z wieloma zagrożeniami, np. brakiem kontroli nad danymi oraz niewystarczającymi informacjami dotyczącymi samej operacji przetwarzania. Dlatego tak ważne jest, by przed skorzystaniem z konkretnego rozwiązania, oszacować proces przetwarzania danych osobowych pod kątem istniejących ryzyk.

Należy pamiętać, że to administrator ma sprawować kontrolę nad całym procesem przetwarzania danych osobowych i zgodnie z zasadą rozliczalności, być w stanie wykazać, że przestrzega obowiązujących w RODO zasad.

Serwis Samorządowy PAP: kontrowersje budzi m.in. kwestia zamieszczania nagrań w popularnym serwisie internetowym YouTube. Częścią uzasadnienia decyzji nakładającej karę finansową dla burmistrza Aleksandrowa Kujawskiego był zresztą fakt, że nagrania z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube.

Monika Krasińska: W tym przypadku zasadniczym problemem był brak analizy ryzyka związanego z korzystaniem przez burmistrza z kanału YouTube i przechowywaniem nagrań sesji rady miasta wyłącznie na serwerach właściciela tego serwisu. Decydując się na wykorzystanie jedynie takiego kanału, nie wzięto pod uwagę wszystkich zagrożeń związanych z publikacją i przechowywaniem tam nagrań, np. tego, że podmiot prowadzący wskazany serwis ma siedzibę w państwie trzecim, a zyskał wyłączny dostęp do całości danych osobowych dostępnych na tych nagraniach, a tym samym wyłączne władztwo nad tymi danymi. Nie przeanalizowano ryzyka związanego z utratą danych zamieszczonych na tym kanale w sytuacji nieposiadania własnych kopii zapasowych.

Tymczasem dzięki przeprowadzeniu analizy ryzyka administrator może dokonać szczegółowej inwentaryzacji prowadzonych procesów przetwarzania danych i ocenić ryzyka, na jakie przetwarzanie danych w konkretnym przypadku jest narażone oraz dobrać odpowiednie do niego zabezpieczenia. Takie podejście umożliwia skoncentrowanie się na sytuacjach najwyższego ryzyka, przy jednoczesnym zachowaniu odpowiedniego poziomu ochrony, gdy to ryzyko jest niskie i nie wymaga zastosowania wielu skomplikowanych środków służących ochronie danych.

Inne środki należałoby bowiem zastosować, gdyby na sesji rady gminy przetwarzane były wyłącznie dane zwykłe lub dane osób piastujących funkcje publiczne, a podczas posiedzenia omawiane byłyby jedynie tematy ogólne, np. budżet jednostki, a inne, gdyby radni debatowali nad wnioskiem pochodzącym np. od osoby niepełnosprawnej. Inne ryzyka rodzi zapewnianie dostępu do informacji publicznej poprzez własne serwisy i urządzenia, nad którymi administrator ma pełną kontrolę, a inne gdy np. transmisji obrad realizowałby podmiot zewnętrzny.

Serwis Samorządowy PAP: Czy taką analizę ryzyka wystarczy przeprowadzić raz - jako stały model publikowania np. nagrań z posiedzeń rady gminy - czy też dla każdego publikowanego nagrania?

Monika Krasińska: Taka analiza powinna być przeprowadzona dla całego procesu, a proces przetwarzania danych musi być oceniany w sposób ciągły. Nie wystarczy, że raz stworzymy dokumentację, jednorazowo poinformujemy o zasadach przetwarzania danych i na tej podstawie uznamy, że osiągnęliśmy zgodność z RODO. Ciągłość analizy procesu przetwarzania danych osobowych pod kątem oceny ryzyk, jakie się z nim wiążą, ma charakter fundamentalny. Konieczność nieustannej oceny jest spowodowana m.in. szybkimi zmianami technologicznymi, pojawianiem się nowych zagrożeń, czy choćby zmianami warunków świadczenia usług, z których się korzysta.

Serwis Samorządowy PAP: Czytelnicy pytają też w komentarzach, jak mają usunąć dane wrażliwe podczas transmisji z sesji; o ile "wypikanie" danych w nagraniu archiwalnym nie budzi wątpliwości, rodzą się pytania, jak zrobić to podczas relacji na żywo?

Monika Krasińska: Proszę pamiętać, że dostęp do informacji publicznej nie oznacza automatycznego dostępu do danych osobowych. Wynika to z ogólnych zasad prawa dostępu do informacji publicznej. Aby za pomocą transmisji obrad i udostępnienia nagrań zapewnić nam prawo dostępu do informacji publicznej, a jednocześnie ochronić sferę prywatności koniecznym wręcz będzie nierozpowszechnianie określonych danych i to nie tylko należących do kategorii szczególnych. W przestrzeni publicznej nie powinny być ujawniane nie tylko dane o stanie zdrowia, nałogach, czy wyznaniu, ale również informacje dotyczące np. miejsca zamieszkania, numeru PESEL, czy dokładnych danych z PIT.

Są różne rozwiązania, które administratorzy stosują, by chronić dane osobowe przed dostępem osób nieuprawnionych. To może być transmisja z opóźnieniem, by dane zbędne, nieadekwatne można było wyeliminować. Niektórzy niezwłocznie po przeprowadzeniu transmisji na żywo usuwają nieadekwatne dane osobowe i nagranie przechowywane w sieci już ich nie zawiera.

RODO nie narzuca konieczności stosowania określonych rozwiązań. Daje administratorom dużą samodzielność w tym zakresie. Ważne, by byli w stanie wykazać, że przyjęte rozwiązania są adekwatne do skali ryzyka i zgodne z aktualnym stanem wiedzy.

Serwis Samorządowy PAP: Jest jeszcze kwestia retencji - jak długo należy udostępniać np. nagranie z sesji rady gminy?

Monika Krasińska: Jeżeli ustawodawca określił w aktach prawnych okres, po którym dane mają być usuwane, to administrator musi przestrzegać tych terminów. Jeśli jednak w przepisach brak jest szczegółowych regulacji w tym zakresie, administrator ma obowiązek samodzielnie określić okres retencji danych, stosując się do wynikającej z RODO zasady ograniczenia przechowywania.

Jak to zrobić w praktyce? Ustalając cel, jakiemu służy przetwarzanie danych. Gdy cel zostanie osiągnięty, dane powinny zostać usunięte. Trzeba bowiem pamiętać, że biuletyn informacji publicznej powinien być miejscem, w którym informujemy o różnego rodzaju działaniach, mających związek z szeroko pojmowaną sferą życia publicznego, ale nie może być to przestrzeń bezterminowego przechowywania danych osobowych. To nie jest archiwum.

UODO nie narzuca określonych wzorów postępowania, ale oczekuje od administratora przedstawienia argumentów, które przemawiają za przyjęciem określonych rozwiązań i wykazania spełnienia wynikających z RODO zasad, takich jak: zgodność z prawem, rzetelność i przejrzystość, celowość, minimalizacja danych, prawidłowość, integralność czy poufność.

Musimy o tym pamiętać, że administrator, decydując się na wybór określonych rozwiązań, cały czas odpowiada za realizację celu określonego przez ustawodawcę.

Serwis Samorządowy PAP: Na co jeszcze warto zwrócić uwagę samorządów z punktu widzenia UODO?

Monika Krasińska: Oceniając procesy przetwarzania danych osobowych i przekazywanie informacji za pośrednictwem serwisów będących własnością innych administratorów musimy pamiętać o tym, że rozwój nowoczesnych technologii wymusza na nas dokonanie szczególnej oceny związanych z tym ryzyk, ale przede wszystkim oceny ról podmiotów występujących w tych procesach.

Analizując te role należy też brać pod uwagę orzecznictwo Trybunału Sprawiedliwości UE, który kierunkowo pokazuje, jakie role pełnią określone podmioty funkcjonujące w przestrzeni internetu.

Jako przykład podam wyrok, który odnosi się do dookreślenia roli administratora fanpage'a prowadzonego na Facebooku. TSUE wskazał w nim, że podmiot, który zakłada taki fanpage nie może unikać odpowiedzialności za proces przetwarzania danych osobowych, ale również i Facebook jest administratorem pozyskanych w ten sposób danych osobowych. Ocena zachodzących relacji jest punktem wyjściowym dla właściwego ukształtowania całej polityki ochrony danych osobowych, w tym dla realizacji obowiązku informacyjnego, realizacji praw podmiotów danych, prowadzenia rejestrów, o których mowa w RODO, czy zgłaszaniu naruszeń organowi nadzorczemu. We wszystkie działania związane z budowaniem optymalnej dla ochrony danych osobowych przestrzeni powinien być włączany Inspektor Ochrony Danych, jako fachowy doradca dysponujący odpowiednia wiedzą i doświadczeniem. Budowanie coraz wyższych standardów ochrony danych osobowych leży w interesie każdego administratora z uwagi na coraz wyższą świadomość i oczekiwania osób, których dane dotyczą. Wartość naszych danych stale rośnie.

Dziękuję za rozmowę

Rozmawiała Joanna Balcer