Brak umowy przetwarzania, ryzyko zablokowania nagrania i upublicznienia danych wrażliwych, możliwość transferu danych poza UE - ekspert ds. ochrony danych dr Maciej Kawecki wylicza w rozmowie z Serwisem Samorządowym PAP, na co narażają się samorządy zamieszczające nagrania z sesji organów kolegialnych na platformie internetowej YouTube.

Prowadzenie transmisji i nagrywanie obrad organów kolegialnych JST jest obowiązkowe. Każdy obywatel ma dzięki temu mieć zapewniony dostęp do informacji o działalności organów władzy publicznej. Zgodnie z prawem nagrania mają być udostępnione w Biuletynie Informacji Publicznej i na stronie internetowej jednostki samorządu terytorialnego oraz "w inny sposób zwyczajowo przyjęty".

O tym, że "inny sposób" upublicznienia nagrań musi być dokładnie przemyślany przekonał się burmistrz Aleksandrowa Kujawskiego, na którego Prezes UODO nałożył w ostatnim czasie 40 tys. zł kary m.in. za brak kopii nagrania z posiedzenia rady miejskiej. Nagranie umieszczono właśnie na kanale internetowym YouTube. Prezes UODO stwierdził, że burmistrz naruszył zasadę poufności i integralności ze względu na brak analizy ryzyka umieszczania materiałów na tej platformie.

Ekspert ds. ochrony danych osobowych, b. koordynator reformy ochrony danych w Ministerstwie Cyfryzacji dr Maciej Kawecki zwraca uwagę, że korzystanie z różnego rodzaju platform w tym YT jest ryzykowne.

"Ryzyko wynika  z kilku sfer. Przede wszystkim musimy pamiętać, że zamieszczając na platformie YT nagrania posiedzeń kolegialnych organów samorządowych korzystamy z usług podwykonawcy jakim jest YT. Te dane trafiają na serwery YT. A przecież na sesjach rad gmin czy powiatów padają np. dane osobowe, informacje o tym kto złożył w danej sprawie skargę, na co, opis sytuacji rodzinnej skarżącego - a YT w tym przypadku staje się podmiotem przetwarzającym. To oznacza, że warunkiem legalnego przekazania mu danych osobowych jest podpisanie z nim umowy powierzenia przetwarzania danych osobowych, a YT podpisywania takich umów nie umożliwia" - mówi Serwisowi Samorządowemu PAP dr Kawecki.

"Nie słyszałem nigdy o żadnym organie samorządowym, który podpisałby z YT umowę powierzenia przetwarzania danych osobowych" - podkreśla ekspert.

Drugie ryzyko - jak wylicza dr Kawecki - polega na tym, że YT ma bardzo kontrowersyjną politykę cenzurowania treści.

"Musimy pamiętać, że kolegialne organy samorządowe to ciała o charakterze politycznym, gdzie dochodzi do ścierania się różnych poglądów co powoduje, że nagrania z takich sesji są bardzo często skarżone. YT zawsze reaguje na to jednolicie tzn. zablokowaniem całości bądź części nagrania co powoduje, że dana jednostka JST nie realizuje przewidzianego prawem obowiązku dostępu do treści posiedzenia" - akcentuje ekspert.

Trzeci z kontrowersyjnych obszarów to fakt, że YT ma serwery zlokalizowane poza UE.

"Oczywiście nie wszystkie, ale część i nie wiemy czy akurat nasze nagranie jest przechowywane na terytorium Unii Europejskiej czy poza nim. Z kolei przekazanie danych poza europejski obszar gospodarczy wymaga spełnienia określonych przesłanek przewidzianych w RODO: czy to zgody od osób, których te dane dotyczą, czy to kwestii związanych np. z zawarciem odpowiednich klauzul umownych, czego YT nie umożliwia" - mówi dr Kawecki.

"Jak sobie połączymy te trzy problemy to widzimy, że korzystanie z YT jest kontrowersyjne, a ja nawet bym powiedział, że niezgodne z prawem" - podkreśla ekspert.

Do tego dochodzi kwestia danych wrażliwych.

"W poradniku dla JST wydanym przez Ministerstwo Cyfryzacji bardzo wyraźnie zostało wskazane, że jeśli na posiedzeniu organu kolegialnego padają dane szczególnie chronione jak: informacja o stanie zdrowia, orientacji seksualnej, pochodzeniu narodowym czy etnicznym, przynależności politycznej - a takie dane często padają - to powinny być one "wypikane" tzn., że nagranie powinno być zanonimizowane w aspekcie tych danych szczególnie chronionych. YT nie daje takiej możliwości. Możemy oczywiście samodzielnie próbować to robić i modyfikować takie nagranie, ale w praktyce jest to trudne" - stwierdza dr Kawecki.

Dlatego - jak konkluduje - "korzystanie z platformy YT jest kontrowersyjne i może zakończyć się karą nałożoną przez Prezesa UODO".

Dr Kawecki odpowiedział też na pytanie jednego z naszych czytelników, który komentując poradnik UODO dla samorządów dociekał czy jeśli on sam "jako zwykły obywatel", a nie administrator danych wejdzie na posiedzenie np. rady gminy, nagra je telefonem i zrobi transmisję na YT będzie podlegał wytycznym UODO.

"Jeżeli robimy coś prywatnie jest to tzw. dozwolony użytek osobisty" - tłumaczy dr Kawecki.

"A więc jeśli jestem na posiedzeniu rady gminy czy w galerii handlowej i nagrywam filmik telefonem komórkowym, który trzymam tylko w zasobach prywatnego telefonu, to oczywiście przepisów o ochronie danych osobowych się nie stosuje. W momencie kiedy zacznę wykorzystywać to nagranie w działalności gospodarczej albo je upublicznię, od tego momentu przepisy o ochronie danych osobowych znajdowałyby zastosowanie" - wyjaśnia ekspert.

js/