W listopadzie 2019 roku na stronie organu nadzorczego tj. UODO ukazał się interesujący materiał pt. “Projektowanie ochrony danych osobowych w związku z transmisją i nagrywaniem obrad kolegialnych organów jednostek samorządu terytorialnego”. Rozwój technologiczny i zmiany w ustawodawstwie regulującym spowodowały, że działanie kolegialnych organów jednostek samorządu terytorialnego, pochodzących z wyborów powszechnych (np. rady gmin, rady powiatów) musi być transmitowane i utrwalane za pomocą urządzeń rejestrujących obraz i dźwięk obrad tych organów. Uregulowano również zasady dalszego udostępniania takich nagrań.
Jak zatem spełniać obowiązek jawności działań władzy samorządowej przy jednoczesnym zachowaniu przepisów o ochronie danych osobowych? Jakie procedury powinien uwzględnić Administrator Danych Osobowych (ADO) w związku z transmisją i nagrywaniem, a także dalszym udostępnianiem nagrań?
W wymienionym materiale UODO znalazła się propozycja, aby zastosować metodę uwzględniającą poszczególne etapy działań, które ADO powinien przeanalizować, by zapewnić odpowiedni poziom ochrony danych osobowych przetwarzanych przez organy kolegialne jednostek samorządu terytorialnego. W tej metodzie wymieniono pięć podstawowych etapów.
Etap 1 - Odpowiednie zaplanowanie pracy
Ważne jest na jakim forum będzie prowadzona debata publiczna, podczas której dochodzi do przetwarzania danych osobowych, jak i zakres oraz sposób przetwarzania danych. Podjęcie właściwych decyzji w tym zakresie pozwoli ograniczyć możliwość ujawnienia osobom nieuprawnionym przetwarzanych danych osobowych, zwłaszcza należących do szczególnych kategorii wskazanych w art. 9 i danych wskazanych w art. 10 RODO. Administrator powinien ocenić, czy informacje i tematyka obrad będą wymagały ujawnienia danych osobowych osób fizycznych ze szczególnym uwzględnieniem kategorii danych wskazanych w art. 9 i 10 RODO. Przykładowo, inny poziom zagrożeń będzie towarzyszyć debacie na temat budżetu jednostki samorządu terytorialnego, a inny obradom poświęconym rozpatrzeniu skargi niepełnosprawnego mieszkańca.
ADO, planując transmisje i nagrywanie obrad, powinien również zapewnić odpowiednie szkolenia nie tylko dla osób wchodzących w skład samorządowych organów kolegialnych, ale także dla osób odpowiedzialnych za techniczną obsługę obrad, w tym dla osób, które w instytucji zajmują się do czynnościami technicznymi związanymi z pracą kamer, aby przy realizacji prawa dostępu do informacji publicznej nie dochodziło do naruszenia zaprojektowanych i wdrożonych przez administratora procedur ochrony danych.
Etap 2 - Zapewnienie rzetelnej realizacji obowiązku informacyjnego
Obowiązek ten wynika z zasady przejrzystości wskazanej w art. 5 ust. 1 lit. a RODO i prawidłowa jego realizacja powinna uświadomić wszystkim uczestniczącym w obradach, czy udostępnienie danych jest w ogóle potrzebne i w jakim zakresie. Może być on realizowany warstwowo (krótka wersja klauzuli informacyjnej z odesłaniem do pełnej wersji np. w BIP). Zapewnienie odpowiedniej informacji o transmisji, utrwalaniu i dalszym udostępnianiu nagrania obrad kolegialnych organów jednostek samorządu terytorialnego powinno się również wiązać z właściwym umiejscowieniem informacji na ten temat, np. przed wejściem na salę obrad czy też poprzez odczytanie na początku sesji.
Etap 3 - Zapewnienie właściwego sposobu transmisji, utrwalania i udostępniania w Internecie nagrań
Najważniejsza kwestia dotyczy tego, że obowiązek upublicznienia nagrań w BIP i na stronach internetowych nie oznacza prawa do ujawnienia wszystkich danych osobowych przetwarzanych na posiedzeniu kolegialnych organów. ADO powinien dokonać oceny niezbędności ich ujawnienia z punktu widzenia celu informacyjnego, któremu ta publikacja ma służyć. Może się okazać w uzasadnionych przypadkach, że konieczna będzie pełna anonimizacja danych, zgodnie z zasadą minimalizacji danych wynikającą z art. 5 ust. 1 lit. c RODO. Organ nadzorczy podkreślił także, że samorządy powinny umieszczać nagrania z obrad kolegialnych na swoich stronach i biuletynach, bowiem korzystanie z infrastruktury firm zewnętrznych daje mniejszą kontrolę nad zachowaniem procedur bezpieczeństwa np. nieprzeprowadzenia analizy ryzyka czy braku własnych kopii zapasowych nagrania, co mogłoby w efekcie spowodować naruszenie zasady integralności i poufności.
Etap 4 - Zapewnienie odpowiednich procedur bezpieczeństwa nagrań umieszczonych na stronach BIP i stronach www organu
ADO powinien uwzględnić w szczególności wszelkie ryzyka związane z przetwarzaniem, co wynika m.in. z art. 24 i 32 RODO. Wykorzystanie danych do celu transmisji, nagrywania i późniejszej publikacji nagrania z obrad z wykorzystaniem nowych technologii może rodzić też konieczność przeprowadzenia oceny skutków dla ochrony danych, o której mowa w art. 35 RODO. Administrator powinien uwzględnić w rejestrze czynności przetwarzania czynność w postaci nagrywania i transmitowania posiedzeń z uwzględnieniem informacji wymaganych w art. 30 RODO.
Etap 5 - Dokonanie analizy okresu przetwarzania danych zawartych w nagraniach zamieszczonych w Internecie
Co do zasady, dane osobowe zawarte w upublicznionych nagraniach posiedzeń kolegialnych organów jednostek samorządu terytorialnego powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Zapewnienie przez administratora retencji danych osobowych zawartych w upublicznianych nagraniach, wiąże się ze stałą ich analizą i przeglądem pod kątem oceny ich niezbędności do celów, dla których są przetwarzane. Jeżeli ustawodawca określił w aktach prawnych okres, po którym dane mają być usuwane, to administrator musi przestrzegać tych terminów. Jeśli jednak w przepisach brak jest szczegółowych regulacji w tym zakresie, administrator ma obowiązek samodzielnie określić okres retencji danych, stosując się do wynikającej z RODO zasady ograniczenia przechowywania.
Dodatkowe informacje na stronie UODO: uodo.gov.pl (link)