Miesięcznik informatyków i menedżerów IT sektora publicznego

Eryk Chilmon

Transmisja sesji rady zgodna z przepisami rodo

Prezes UODO opublikował zalecenia dla administratorów dotyczące projektowania ochrony danych osobowych w związku z transmisją i nagrywaniem obrad kolegialnych organów jst. Zdaniem ekspertów zaproponowane procedury należy rozszerzyć o dodatkowe wytyczne.

Transmitowanie, przechowywanie i udostępnianie nagrań z obrad rady gminy (rady powiatu czy sejmiku województwa) za pomocą urządzeń rejestrujących obraz i dźwięk to zadanie instytucji samorządowych, które obowiązuje od kadencji 2018–2023. Obowiązek ten został wprowadzony do ustaw o samorządzie gminnym, powiatowym i województwa ustawą z dnia 11 stycznia 2018 r. o zmianie niektórych ustaw w celu zwiększenia udziału obywateli w procesie wybierania, funkcjonowania i kontrolowania niektórych organów publicznych (DzU z 2018 r., poz. 130). Zgodnie z nowym przepisem art. 20 ust. 1b ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (tekst jedn. DzU z 2019 r., poz. 506) obrady rady gminy są transmitowane i utrwalane za pomocą urządzeń rejestrujących obraz i dźwięk. Nagrania obrad są udostępniane w BIP i na stronie internetowej gminy oraz w inny zwyczajowo przyjęty sposób.
Samo wprowadzenie nowych przepisów nie sprawiło, że obowiązek jest realizowany bezproblemowo i że nie są potrzebne kolejne wytyczne. Przez cały rok 2019 pojawiały się np. wątpliwości co do jakości transmisji i utrwalania obrad (patrz: ramka „Problem z jakością”). Równie istotne okazało się jednak uściślenie związanych z nowymi obowiązkami zaleceń w zakresie ochrony danych osobowych. W opublikowanym pod koniec 2019 r. tekście „Projektowanie ochrony danych osobowych w związku z transmisją i nagrywaniem obrad kolegialnych organów jednostek samorządu terytorialnego” Prezes UODO przypomniał, że administratorzy danych muszą brać pod uwagę takie kwestie, jak minimalizacja danych, ich anonimizacja i zasady udostępniania nagrań. A to oczywiście tylko niektóre elementy, na jakie trzeba zwrócić uwagę. Jak czytamy w publikacji, odpowiednie zaprojektowanie przez administratorów procedur postępowania w związku z transmisją i nagrywaniem, a także dalszym udostępnianiem nagrań z obrad pozwoli zapewnić ochronę danych osobowych na każdym etapie ich przetwarzania, w tym udostępniania, gwarantując jednocześnie prawo do informacji publicznej, które wynika z Konstytucji Rzeczypospolitej Polskiej.
Opublikowany przez Prezesa UODO materiał zawiera konkretne wskazówki dla administratorów danych dotyczące tworzenia procedur zapewniających odpowiedni poziom ochrony danych osobowych przetwarzanych przez organy kolegialne jst. Uwzględnienie pięciu etapów działań ma ułatwić administratorom przeprowadzanie transmisji sesji rady zgodnie z przepisami rodo. Dobrze, że takie wytyczne zostały przedstawione, jednak zdaniem ekspertów zaproponowane procedury mogą się okazać niewystarczające.

Dobry plan

W publikacji Prezesa UODO czytamy, że pierwszym etapem, który powinien uwzględnić administrator, jest odpowiednie zaplanowanie pracy. Ważne jest zarówno to, na jakim forum będzie prowadzona np. debata publiczna, podczas której dochodzi do przetwarzania danych osobowych, jak i zakres oraz sposób przetwarzania danych. Podjęcie właściwych decyzji w tym zakresie pozwoli ograniczyć możliwość ujawnienia osobom nieuprawnionym przetwarzanych danych osobowych, zwłaszcza należących do szczególnych kategorii wskazanych w art. 9 i danych wskazanych w art. 10 rodo. Organ słusznie też zwrócił uwagę na rozróżnienie organów kolegialnych władzy publicznej pochodzących z powszechnych wyborów, czyli rad gmin, powiatów i sejmików województw oraz funkcjonujących w ich obrębie komisji.
Podczas przygotowywania sali obrad należy zwrócić uwagę np. na ustawienie kamer, tak by obejmowały one swoim zasięgiem przede wszystkim osoby publiczne lub osoby realizujące zadania publiczne biorące udział w obradach. Ważne jest też zminimalizowanie zakresu danych pozyskiwanych w związku z transmisją, np. w przerwie obrad powinna ona zostać wstrzymana, ponieważ pozyskiwane podczas transmisji dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane, zgodnie z zasadą minimalizacji danych wynikającą z art. 5 ust. 1 lit. c rodo. – W wytycznych brakuje konkretnego wylistowania elementów owego zaplanowania pracy. Odpowiednie zaplanowanie pracy rady czy sejmiku jest kluczowe w dwóch aspektach. Pierwszy ma charakter logistyczny, sprowadzić go należy do zapewnienia odpowiedniej sali, rozmieszczenia kamer, rozlokowania mikrofonów, zakresu transmitowanego obrazu i fonii, zapewnienia odpowiedniego zabezpieczenia nagrań przed zewnętrzną ingerencją, ich obróbki, przeszkolenia radnych, osób obsługujących radę (sejmik) i osób odpowiedzialnych za realizację transmisji oraz udostępnianie nagrań. Drugi aspekt dotyczy adekwatnego przygotowania informacji – mówi dr Marlena Sakowska Baryła, która specjalizuje się w sprawach z zakresu ochrony danych osobowych i prawa informacyjnego. I nie jest odosobniona w poczuciu, że zakres wytycznych w pierwszym etapie powinien zostać poszerzony. – Brakuje mi wskazówek praktycznych. Warto byłoby wskazać wprost, że materiału do zaplanowania pracy organów kolegialnych dostarcza przede wszystkim historia ich działania. Można na jej podstawie ułożyć kalendarz spraw, którymi organy się zajmują, i do tego dostosować zabezpieczenia danych osobowych. Podkreślić przy tym należy, że z uwagi na dynamiczny charakter obrad organów kolegialnych nie zawsze uda się skutecznie anonimizować dane – komentuje Tomasz Cygan, adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych.

Obowiązek informacyjny

Drugim etapem jest zapewnienie rzetelnej realizacji obowiązku informacyjnego wynikającego z art. 13 rodo. Polega on na uświadomieniu wszystkim uczestniczącym w obradach, czy udostępnienie danych jest w ogóle potrzebne i w jakim zakresie. 

Wszystkie osoby uczestniczące w posiedzeniach kolegialnych organów jst przed rozpoczęciem tych obrad powinny zostać poinformowane także o samym fakcie i miejscu transmisji obrad oraz miejscu udostępnienia nagrania wraz ze wskazaniem okresu przechowywania znajdujących się w nagraniach danych osobowych. Jak instruuje Prezes UODO, taka informacja powinna znaleźć się np. przed wejściem na salę obrad czy też być odczytana na początku sesji. – Niezwykle jestem rada, że w wytycznych Prezesa UODO wprost napisano o spełnieniu obowiązku informacyjnego, w tym o możliwości warstwowego przekazywania informacji – zaznacza Marlena Sakowska-Baryła. – Cieszy też, że wytyczne nie pozostawiają wątpliwości, że wstęp na salę obrad nie wymaga zgody na przetwarzanie danych osobowych, bo przetwarzanie to – rzecz jasna – nie odbywa się na podstawie zgody. Niestety, w internetowych publikacjach kilkukrotnie pojawiały się zalecenia poboru pisemnej zgody na przetwarzanie formułowane przez tzw. ekspertów rodo. Zalecenia pozbawione podstaw prawnych i irracjonalne, ale jak dużo treści pojawiających się w internecie, powielane przez wiele nieświadomych prawa osób – dodaje Sakowska-Baryła.

[...]

Autor jest redaktorem prowadzącym „IT w Administracji”.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej