Analiza ryzyka przetwarzania danych osobowych podczas transmisji obrad rady gminy

I. Kontekst

Prowadzenie transmisji i nagrywanie obrad organów kolegialnych Gminy Miejskiej w Krakowie jest obowiązkowe. Każdy człowiek (obywatel) ma dzięki temu zapewniony dostęp do informacji o działalności organów władzy publicznej. Dostęp do informacji publicznej jest wartością wynikającą z Konstytucji Rzeczypospolitej Polskiej. Zgodnie z art. 61 Konstytucji RP, obywatel ma prawo do uzyskiwania informacji o działalności organów władzy publicznej i osób pełniących funkcje publiczne, a uprawnie to obejmuje m.in. wstęp na posiedzenia kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów, a także możliwość zapoznania się z transmisją obrad tych organów. Dostęp do posiedzeń gwarantuje także art. 20 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz.U. z 2023 r. poz. 40, zwana dalej: ustawą) zgodnie, z którym obrady rady gminy są transmitowane i utrwalane za pomocą urządzeń rejestrujących obraz i dźwięk. Nagrania obrad są udostępniane w Biuletynie Informacji Publicznej Miasta Krakowa i na stronie internetowej krakow.pl oraz w inny sposób zwyczajowo przyjęty. Nie oznacza to jednak, że Gmina Miejska Kraków jako Administrator danych osobowych może transmitować posiedzenia rady w sposób nieprzemyślany. Radni podczas pełnienia swojej funkcji pozyskują dane m.in z wniosków, skarg, petycji. Są to zarówno dane zwykłe jak i dane szczególnej kategorii. W tym kontekście należy pamiętać, że przypadku, gdy operacje przetwarzania mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych Administrator zobowiązany jest przeprowadzić ocenę skutków (DPIA). Dotyczyć może to w szczególności takich Administratorów, którzy przetwarzają dane z katalogu art. 9 RODO.

II. Cel

Realizacja obowiązku transmisji i nagrań obrad kolegialnych Gminy Miejskiej w Krakowie oraz zapewnienie dostępu do informacji o działalności organów władzy publicznej.

III. Analiza ryzyka – metodyka

Niniejsza analiza ryzyka ma za zadanie skupić się przede wszystkim na nieprzemyślanym oraz niezaplanowanym upublicznianiu nagrań z posiedzeń rady samorządu, a także na transmisji sesji na serwisach internetowych takich jak YouTube.

Stosownie do przepisów art. 35 RODO należy również oszacować ryzyko. Do tego celu będzie wykorzystana macierz opracowana i przygotowana przez Urząd Ochrony Danych Osobowych:

Poziom ryzyka (Istotność) określana jest według wzoru:

Istotność = Prawdopodobieństwo x Skutek

Zagrożenie Zagrożony atrybut Skutki Prawdopodobieństwo Skutki Poziom Środki Decyzja (źródło ryzyka) wystąpienia ryzyka i organizacyjne ryzyka redukujące ryzyko

Polityka Poufność/integralność/dostępność • Ujawnienie danych wrażliwych 4 5 Wysoki Szkolenia dla pracowników, wdrożenie procedur transmisja • Wstrzymana cenzurowania posiedzenia • Online treści serwisach • Tak YouTube streaming obrady przerwie

Brak możliwości Poufność Utrata kontroli nad danymi 3 4 Średni Zakup dedykowanego oprogramowania do transmisji transmisja • Wstrzymana zawarcia sesji • Online umowy kanałem • YouTube powierzenia oprogramowania YouTube kopii nagrań współpraca firmą moduł transmisji obrad portal mieszkańca informacje pracy rady integrację serwis zawarcie umowy powierzenia firmą oprogramowanie weryfikacja procesora umowy powierzenia

Lokalizacja Poufność/Integralność • Przechowywanie danych poza UE 2 3 Niski Wybór dostawcy z serwerami w UE kopie • Tak serwerów /Rozliczalność nagrania zapasowe • Tak YouTube UE posiedzeń • Nie terytorium europejskim wypływ danych państw trzecich utrata kontroli danych zawarcia klauzul umownych dostępu awarii serwera modyfikacji danych

Brak analizy Poufność/Dostępność/Integralność • Brak pełnej kontroli nad danymi 1 2 Niski Przeprowadzenie analizy ryzyka • Tak ryzyka • Nie transmisji zakresu danych procesów YouTube przetwarzania danych aktualizacja analizy ryzyka zmian przepisów prawnych dostępnych środków organizacyjnych technicznych ochrony danych osobowych

Brak Dostępność/Integralność • Utrata nagrań 1 1 Niski Wdrożenie oprogramowania do nagrywania • Tak oprogramowania • Nie nagrywania • Tak transmisji umów sesji rady

W kontekście obowiązku transmisji i nagrywania posiedzeń organów kolegialnych operacje przetwarzania danych powodują wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w przypadku gdy obowiązek ten jest realizowany wyłącznie przez serwis YouTube. Administrator zobowiązany jest przeprowadzić ocenę skutków (DPIA), ponieważ ujawnienie danych i utrata kontroli nad danymi powoduje wysokie lub krytyczne zagrożenia dla ochrony danych osobowych RODO. Wniosek z przeprowadzonej analizy ryzyka jest przede wszystkim taki, że transmisja obrad sesji rady nie jest możliwa przez sam serwis YouTube. Zarówno UODO jak i NIK wskazał nieprawidłowości przy tego typu transmisji. Bez spełnienia szeregu warunków transmisja sesji rady przez serwis YouTube narusza RODO i naraża ADO na kary finansowe. Dlatego zaleca się zapewnienie alternatywnych kanałów transmisji sesji rady, zakup komercyjnego oprogramowania i zadbanie o sporządzenie umów powierzenia z firmą je dostarczającą. Przekazanie danych będzie wtedy legalne. Należy zwrócić uwagę, że urząd jako użytkownik YouTube nieposiadający biznesowego konta Google nie ma możliwości zawarcia umowy powierzenia, dlatego zakup komercyjnego oprogramowania jest konieczny.

Innym zagrożeniem wynikającym z publikacji nagrań obrad rady na YouTube jest ryzyko umieszczenia wideo z sesji rady na serwerze, który znajduje się poza terenem Unii Europejskiej. Google, właściciel serwisu wideo, przyznaje, że “Twoje dane mogą być przetwarzane na serwerach na całym świecie”. W tej sytuacji urząd jako użytkownik platformy nie ma możliwości sprawdzenia, czy jego nagranie przechowywane jest na serwerze znajdującym się na terenie Unii Europejskiej. W takim przypadku urząd musi dopełnić kolejnych formalności w świetle RODO - w tym poinformować osoby z nagrania o ryzyku związanym z przekazaniem ich danych osobowych poza europejski obszar gospodarczy (EOG), czy uzyskać zgody od tych osób i to jeszcze zanim YouTube umieści dane na serwerze poza EOG. W praktyce oznacza to, że jeśli podczas kilkugodzinnej sesji padają dane osobowe różnych osób, to urząd powinien do każdej z nich wystąpić ze stosowną informacją czy z prośbą o udzielenie zgody na przekazanie ich danych poza UE. Urząd powinien również wystosować odpowiednią informację do osób, których wizerunek jest uwieczniony na nagraniu. Dopełnienie tych wszystkich wymagań z punktu przeprowadzonej oceny jest niemożliwe.