Minimalizacja danych, ich anonimizacja i zasady udostępniania nagrań - UODO instruuje, jak transmitować sesje, nie naruszając prawa do ochrony danych.
Minimalizacja danych, ich anonimizacja i zasady udostępniania nagrań - to tylko niektóre elementy, jakie muszą wziąć pod uwagę administratorzy w związku obowiązkiem nagrywania i transmisji obrad kolegialnych organów JST czyli np. rad gmin, powiatu - przestrzega Urząd Ochrony Danych Osobowych.
Od początku nowej kadencji samorządy zobowiązane są do prowadzenia transmisji i nagrywania obrad organów kolegialnych. Jak przypomina UODO ma to zapewnić każdemu obywatelowi prawo do uzyskania informacji o działalności organów władzy publicznej.
"Uprawnienie to obejmuje m. in. wstęp na posiedzenia kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów, a także możliwość zapoznania się z transmisją obrad tych organów. Gwarantuje to Konstytucja. Ponadto posiedzenia kolegialnych organów władzy publicznej są jawne i dostępne, a protokoły i stenogramy z ich obrad są udostępniane. Wskazują na to przepisy ustawy o dostępie do informacji publicznej" - wskazuje Urząd.
Jak jednak spełniać obowiązek jawności działań władzy samorządowej przy jednoczesnym zachowaniu przepisów o ochronie danych osobowych? Jakie procedury powinien uwzględnić administrator w związku z transmisją i nagrywaniem, a także dalszym udostępnianiem nagrań?
Dobre planowanie
Przede wszystkim - jak instruuje Urząd - obrady rad gmin czy powiatów powinny być odpowiednio zaplanowane. "Ważne jest zarówno to, na jakim forum będzie np. prowadzona debata publiczna, podczas której dochodzi do przetwarzania danych osobowych, jak i zakres oraz sposób przetwarzania danych. Podjęcie właściwych decyzji w tym zakresie pozwoli bowiem ograniczyć możliwość ujawnienia osobom nieuprawnionym przetwarzanych danych osobowych" - podkreśla UODO.
Istotne jest przy tym np. ustawienie kamer, tak by obejmowały one swoim zasięgiem przede wszystkim osoby publiczne lub osoby realizujące zadania publiczne biorące udział w obradach. Ważne jest też zminimalizowanie zakresu danych pozyskiwanych w związku z transmisją - np. w przerwie obrad powinna ona zostać wstrzymana bowiem "pozyskiwane podczas transmisji dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane, zgodnie z zasadą minimalizacji danych wynikającą z art. 5 ust. 1 lit. c RODO".
Administrator, planując transmisje i nagrywanie obrad, powinien również zapewnić odpowiednie szkolenia nie tylko dla osób wchodzących w skład samorządowych organów kolegialnych, ale także dla osób odpowiedzialnych za techniczną obsługę obrad, w tym dla osób, które w instytucji zajmują się do czynnościami technicznymi związanymi z pracą kamer, aby przy realizacji prawa dostępu do informacji publicznej nie dochodziło do naruszenia zaprojektowanych i wdrożonych przez administratora procedur ochrony danych.
Rzetelne informowanie
W przypadku utrwalania obrad konieczne jest zapewnienie rzetelnej realizacji obowiązku informacyjnego wynikającego z art. 13 RODO polegające na uświadomieniu wszystkim uczestniczącym w obradach, czy udostępnienie danych jest w ogóle potrzebne i w jakim zakresie. Wszystkie osoby uczestniczące w posiedzeniach kolegialnych organów JST przed rozpoczęciem tych obrad, powinny zostać poinformowane także o samym fakcie i miejscu transmisji obrad oraz miejscu udostępnienia nagrania wraz ze wskazaniem okresu przechowywania znajdujących się w nagraniach danych osobowych.
Taką informacja powinna znaleźć się np. przed wejściem na salę obrad czy też być odczytana na początku sesji.
Właściwy sposób transmisji, utrwalania i udostępniania
Obowiązek upublicznienia nagrań w BIP i na stronach internetowych nie oznacza prawa do ujawnienia wszystkich danych osobowych przetwarzanych na posiedzeniu kolegialnych organów.
W przypadku danych osobowych zarówno zwykłych, jak i szczególnych kategorii wskazanych w art. 9 oraz danych z art. 10 RODO, administrator, przed publikacją nagrania w sieci (pamiętając o zachowaniu oryginału nagrania jako dokumentu podlegającego archiwizacji), powinien dokonać oceny niezbędności ich ujawnienia z punktu widzenia celu informacyjnego, któremu ta publikacja ma służyć. Niekiedy konieczna będzie pełna anonimizacja danych.
Nagrania obrad są udostępniane w Biuletynie Informacji Publicznej i na stronie internetowej jednostki samorządu terytorialnego oraz "w inny sposób zwyczajowo przyjęty".
"Należy zwrócić uwagę, że ustawodawca w sposób szczególny wyróżnił Biuletyn Informacji Publicznej, jak i strony internetowe jednostki samorządu terytorialnego, co do zasady wskazując je jako docelowe miejsca publikacji nagrań. Zarówno transmisja, jak i udostępnienie w Internecie nagrań posiedzeń kolegialnych organów jednostek samorządu terytorialnego powinno się zatem koncentrować przede wszystkim w tych właśnie publikatorach, a w innych jedynie w przypadku, gdy miejsce publikacji nagrania umożliwia administratorowi pełną kontrolę nad danymi osobowymi i realizację wynikających z RODO obowiązków (np. obowiązku aktualizacji danych, usunięcia danych, sprostowania danych itp.)" - przestrzega UODO.
Urząd akcentuje też, że publikacja nagrań zawierających dane osobowe np. na stronach podmiotów prywatnych wykorzystujących do przetwarzania danych tzw. chmurę, może się wiązać z wieloma zagrożeniami, np. brakiem kontroli nad danymi oraz niewystarczającymi informacjami dotyczącymi samej operacji przetwarzania.
Bezpieczeństwo nagrań
Administrator, realizując zasadę integralności i poufności wskazaną w art. 5 ust. 1 lit. f RODO, powinien zapewnić również bezpieczeństwo znajdujących się na nagraniach danych osobowych celem wyeliminowania ryzyka nieuprawnionej ingerencji w ich treść, ich zmiany lub nawet zamiany całego pliku. Oceniając, czy zapewniony jest odpowiedni stopień bezpieczeństwa, powinien uwzględnić w szczególności wszelkie ryzyka związane z przetwarzaniem, co wynika m.in. z art. 24 i 32 RODO.
Retencja danych
Zgodnie z zasadą ograniczenia przechowywania wskazaną w art.5 ust. 1 lit. e RODO, administrator zapewnia, by dane osobowe zawarte w upublicznionych nagraniach posiedzeń kolegialnych organów jednostek samorządu terytorialnego były przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Zapewnienie przez administratora retencji danych osobowych zawartych w upublicznianych nagraniach, wiąże się ze stałą ich analizą i przeglądem pod kątem oceny ich niezbędności do celów, dla których są przetwarzane. Jeżeli ustawodawca określił w aktach prawnych okres, po którym dane mają być usuwane, to administrator musi przestrzegać tych terminów. Jeśli jednak w przepisach brak jest szczegółowych regulacji w tym zakresie, administrator ma obowiązek samodzielnie określić okres retencji danych, stosując się do wynikającej z RODO zasady ograniczenia przechowywania.
Materiał pt.: "Projektowanie ochrony danych osobowych w związku z transmisją i nagrywaniem obrad kolegialnych organów jednostek samorządu terytorialnego", dostępny jest na stronach UODO.
js/