System Rada
Profile Radnych, komisje, interpelacje, kalendarz posiedzeń.
eWrota
BIPy jednostek organizacyjnych.
Naruszenia ochrony danych osobowych w związku z transmisją i utrwalaniem obrad sesji RM w dn. 29 czerwca 2023 r.
Tomasz Borowski Miastko, 18 sierpnia 2023 roku
Radny Rady Miejskiej
w Miastku
Pan
Witold Zajst
Burmistrza Miastka
Interpelacja
Dotyczy: naruszenia ochrony danych osobowych w związku z transmisją i utrwalaniem obrad sesji Rady Miejskiej w dniu 29 czerwca 2023 roku.
Zgodnie z art. 20 ust.1 b ustawy o samorządzie gminnym „ obrady rady gminy są transmitowane i utrwalane za pomocą urządzeń rejestrujących obraz i dźwięk. Nagrania obrad są udostępniane w Biuletynie Informacji Publicznej i na stronie internetowej gminy oraz w inny sposób zwyczajowo przyjęty” . Jak wskazałem we wcześniejszym piśmie pozyskiwane podczas transmisji dane z obrad sesji w dniu 29 czerwca 2023 r, nie zostały ograniczone do celu określonego art. 20 ust.1 b ustawy o samorządzie gminnym, gdyż nie wstrzymano transmisji i nagrywania oraz udostępniania w BIP Gminy Miastko obrazu po czasie trwania obrad Rady .
Powyższe wskazuje, że mogło wystąpić naruszenie ochrony danych osobowych określonych rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2, zwane dalej: rozporządzeniem 2016/679 – w którym na użytek rozporządzenia podano definicję dla ” naruszenia ochrony danych” w art. 4 pkt. 12 cyt. „ oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych:”
Zgodnie z zasadami dotyczącymi przetwarzania danych osobowych określonymi w art.5 ust.2 rozporządzenia 2016/679 cyt. „Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Zaś w ust.1 lit.f określono że dane osobowe muszą być cyt. „f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
W związku z powyższym, na podstawie § 91 Statutu Gminy Miastko proszę o odpowiedź na poniższe pytania :
- Czy i kiedy przeprowadził Pan jako Administrator kontrolę , sprawdzenie zgodności przetwarzania danych osobowych z obrad sesji w dniu 29 czerwca 2023 roku z przepisami o ochronie danych osobowych, tj. z : rozporządzeniem 2016/69) oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781).
- W jakim zakresie i przez kogo zostały wykonane czynności kontrolne, sprawdzające oraz czy stwierdzono naruszenie ochrony danych osobowych.
W szczególności czy oceniono wykonanie obowiązków określonych rozporządzeniem 2016/679 określonych w szczególności niżej unormowaniami:
- art. 24 ust.1 – czy są wdrożone odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/69 i czy można to wykazać. Wskazano, że do obowiązków Administratora należy cyt „ Środki te są w razie potrzeby poddawane przeglądom” co w mojej ocenie wystąpiło.
- art. 32 – w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z rozporządzeniem 2016/679- czy oszacowano ryzyko właściwe dla przetwarzania oraz wdrożono środki minimalizujące to ryzyka oraz czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
- art. 33 ust.1 – jeżeli wyniku sprawdzenia stwierdzono naruszenie ochrony danych osobowych – czy zgłoszono naruszenia ochrony danych osobowych organowi nadzorczemu. Jeżeli nie to z jakich powodów.
- art.33 ust.5 - czy udokumentowano wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
- art. 34 – czy dokonano zawiadomień osób, której dane dotyczą, o naruszeniu ochrony danych osobowych. Jeżeli nie to – dlaczego uznano że nie wystąpiło naruszenie praw lub wolności osób fizycznych podczas niezgodnej z prawem transmisją poza obradami sesji.
Tomasz Borowski
Miastko, 27 września 2023 r.
Tomasz Borowski
Radny Rady Miejskiej
w Miastku
Pan Witold Zajst
Burmistrz Miastka
dot. odpowiedzi z dnia 12 września 2023 roku (znak sprawy WOA.0003.48.2023.AR) na zapytania przedstawione w interpelacji z dnia 18 sierpnia 2023 roku w sprawie w naruszenia ochrony danych osobowych w związku z transmisją i utrwalaniem obrad sesji Rady Miejskiej w dniu 29 czerwca 2023 roku.
W związku transmisją i utrwalaniem za pomocą urządzeń rejestrujących obraz i dźwięk, po zakończeniu obrad sesji Rady Miejskiej w dniu 29 czerwca roku tj. poza uprawnionym czasem określonym art. 20 ust.1 b ustawy o samorządzie gminnym, wskazałem o możliwym naruszeniu ochrony danych w rozumieniu art.4 pkt 12 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2, zwane dalej: rozporządzeniem 2016/679.
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679 „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Uwzględniając powyższe, w interpelacji zwróciłem się o sprawdzenie zgodności przetwarzania danych z przepisami o ochronie danych osobowych min.:
- wyjaśnienie w jakim zakresie i przez kogo oraz kiedy zostały wykonane czynności sprawdzające wykonywania czynności przetwarzania danych z transmisji poza obradami ;
- wykazanie czy i jak zostały wykonane w ww. sprawie, niektóre z obowiązków Administratora w szczególności określonych w art. 24 ust.1; art. 32; art. 33 ust.1 i 5; oraz 34 rozporządzenia 2016/679.
W mojej ocenie, wyjaśnienia zawarte w skierowanej do mnie odpowiedzi nie są adekwatne do zadanych pytań.
W wyjaśnieniach nie wykazał Pan, że został wykonany obowiązek określony art. 32 rozporządzenia 2016/679. Materia tego przepisu stanowi :
„... ust. 1 ....administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyk w tym między innymi w stosownym przypadku:... b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.”
Według wyjaśnień prezentowanych przez Urząd Ochrony danych Osobowych (wskazówki, porady poradniki na stronie WWW. uodo) cyt. „Wskazane testowanie, mierzenie i ocenianie, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także dokumentowanie (w związku z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679) tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych.
Oceniam, że nie odpowiadając na zadane pytanie, działań takich Urząd nie podjął, co przesądza o naruszeniu przepisu rozporządzenia 2016/679.
Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty, które przetwarzają dane osobowe, zobligowane są nie tylko do zapewnienia zgodności tego przetwarzania z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń.
Oznacza to, że koniecznością staje się wypełnienie obowiązku przez Administratorów szczegółowej analizy prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Wykonanie wymagane jest przed wprowadzeniem nowego procesu przetwarzania danych oraz w przypadku wystąpienia naruszenia, co miało miejsce dnia 29 czerwca 2023 r. transmisja poza uprawniony okres.
W odpowiedzi częściowo wykazano realizację obowiązku określonego w art. 33 rozporządzenia 2016/679. I tak wyjaśnienie cyt. „W wyniku analizy zapisu obrad sesji Rady Miejskiej w Miastku w dniu 29 czerwca 2023r. przez jej organ wykonawczy, po konsultacji z Inspektorem Ochrony Danych Osobowych Urzędu Miejskiego w Miastku, ustalono, że przedmiotowy zapis z przedmiotowej sesji nie narusza przepisów o ochronie danych osobowych, ani praw i wolności osób na nim utrwalonych, bowiem dotyczy tylko i wyłącznie radnych – osób publicznych biorących udział w niniejszej sesji.” - nie pozwala ocenić czy prawidłowo wykonano obowiązek art. 33 ust.1 i 5 rozporządzenia 2016/679.
Nie wykazano, kiedy (data), przez kogo i jak udokumentowano, że nie wystąpiło naruszenie ochrony danych. Brak tych danych (a wnioskowanych w interpelacji) nie pozwala ocenić czy obowiązek wykonano w terminie wskazanym art. 33 ust. 1, aby w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - wykonał zgłoszenie organowi nadzorczemu.
Natomiast stwierdzenie w odpowiedzi cyt. „bowiem dotyczy tylko i wyłącznie radnych – osób publicznych biorących udział w niniejszej sesji” - wymaga weryfikacji podejścia do zagadnienia i uwzględnienia w następczych działaniach faktu, że osobami tymi mogą być się nie tylko radni. Wstęp na salę posiedzeń obrad przysługuje każdemu, uczestniczą także inne osoby zaproszone (sprawozdawcy zagadnień objętych tematyką sesji) a także mieszkańcy Gminy czy inne zainteresowane.
Ponadto należy uwzględnić, że wszystkie osoby przebywające na sali posiedzeń w trakcie obrad, winny mieć możliwość wcześniejszego zapoznania się z informacją Administratora w zakresie transmitowania i utrwalania za pomocą urządzeń rejestrujących obraz i dźwięk obrad Rady Miejskiej oraz ich udostępnianiu w Biuletynie Informacji Publicznej (art.13 rozporządzenia 2016/679 ).
Powyższego, obowiązku nie realizowano. Po zapytaniu w sprawie, zamieszczono klauzulę informacyjnej (brak daty sporządzenia i podpisu) w biuletynie informacji publicznej system Rada zakładka RODO.
Wnioskuję, aby przed każdym terminem posiedzeń sesji zamieszczać opracowaną klauzulę informacyjną przed wejściem na salę posiedzeń wraz zawiadomieniem o zwołaniu obrad.
W zakresie przestawienie w sprawie roli Inspektora Ochrony Danych jako konsultującego „analizę zapisu” (bez podania daty konsultacji oraz czynności objętych analizą) uważam, że powinna nastąpić niezwłocznie po wystąpieniu naruszenia ochrony danych i winna dotyczyć przede wszystkim przeprowadzenia oceny stopnia bezpieczeństwa, wymaganej art. 32 rozporządzenia 2016/679 .
W wykonywaniu zadań ochrony danych należ uwzględnić status i zadania inspektora ochrony danych określone rozporządzeniem 2016/679 wskazujące w:
- art. 38 ust.1 wskazujące, że Administrator winien zapewnić, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych
- art. 39 ust.1 lit.b „1. Inspektor ochrony danych ma następujące zadania:.... b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.”
. Ponadto oceniam, że bez związku z interpelacją, są informacje i wyjaśnienia przedstawione w odpowiedzi w zdaniach 3 do 7 a będące omówienie unormowań prawnych, ich oceny.
Odnosząc się informacji w brzmieniu cyt. „ Wobec powyższego w rzeczywistości nie może być mowy o jakimkolwiek naruszeniu obowiązujących przepisów prawa, bowiem transmisja z obrad rady jest wykonaniem ustawowego obowiązku i tym samym wymienione nie może mieć zastosowania w przedstawionej sprawie w zakresie naruszenia procedur związanych z przetwarzaniem danych osobowych, ponieważ nie doszło do jakiegokolwiek naruszenia przepisów obowiązujących w tym zakresie” - uważam, po zapoznaniu się z przedstawioną oceną Pana do odpowiedzi, będzie wymagać weryfikacji przedstawionego stanowiska.
Zawarcie w odpowiedzi na interpelację, uwagi o wypowiedziach radnych i instruowaniu jak, Pana zdaniem, mają się radni zachowywać jest wysoce niestosowna.
Uważam, że zamiast zajmować się cenzurowaniem zachowania radnych, winien Pan zająć się zadaniami i obowiązkami Administratora określonymi rozporządzeniem 2016/679. Celem właściwego ich realizowania, wskazane jest żeby Pan i pracownicy realizujący zadania ochrony danych, zaktualizowali wiedzę o obowiązkach spoczywających na nich na mocy wymienionego rozporządzenia, a także zapoznali się z licznymi orzeczeniami sądów administracyjnych, decyzjami Prezesa Urzędu Ochrony Danych czy też skorzystali z porad zamieszczonych na stronie UODO.
Informuję, że wystąpię do Urzędu Ochrony Danych Osobowych z prośbą o ocenę sprawy.
Tomasz Borowski
Załączniki do pobrania
Lp. | Nazwa pliku | Data dodania |
---|---|---|
1 | Naruszenia ochrony danych osobowych w związku z transmisją i utrwalaniem obrad sesji RM w dn. 29 czerwca 2023 r. - załącznik | 2023-08-18 |
Metadane - wyciąg z rejestru zmian
Akcja | Osoba | Data |
---|---|---|
Dodanie dokumentu: | Wioleta Mydło | 18-08-2023 10:50:04 |
Osoba, która wytworzyła informację lub odpowiada za treść informacji: | Tomasz Borowski |
18-08-2023 |
Ostatnia aktualizacja: | Wioleta Mydło | 09-10-2023 12:36:35 |
Odpowiedź
WOA.0003.48.2023.AR Miastko, dnia 12 września 2023 r.
Pan Tomasz Borowski
Przewodniczący Rady Miejskiej
w Miastku
W odpowiedzi na Pana interpelację z dnia 18 sierpnia 2023r. wyjaśniam.
W wyniku analizy zapisu obrad sesji Rady Miejskiej w Miastku w dniu 29 czerwca 2023r. przez jej organ wykonawczy, po konsultacji z Inspektorem Ochrony Danych Osobowych
Urzędu Miejskiego w Miastku, ustalono, że przedmiotowy zapis z przedmiotowej sesji nie narusza przepisów o ochronie danych osobowych, ani praw i wolności osób na nim utrwalonych, bowiem dotyczy tylko i wyłącznie radnych – osób publicznych biorących udział w niniejszej sesji.
Nadto podkreślić należy, że niedopuszczalne jest ingerowanie w treść transmisji
z przebiegu sesji rady. Sytuacja z publikacją pełnego przebiegu transmisji z sali obrad tuż po zakończeniu sesji zaistniała tylko i wyłącznie z powodów technicznych. Mimo to w BIP Gminy Miastko opublikowano przebieg sesji, dokonując weryfikacji końcowego nagrania
ze względu na powagę i charakter instytucji. Nie stosowne byłoby publikowanie takich treści w BIP Urzędu.
Jednocześnie należy wskazać, iż zgodnie z przepisem art. 20 ust. 1a ustawy
z dnia 8 marca 1990 roku o samorządzie gminnym, ustawodawca wprowadził obowiązek transmitowania obrad sesji rady i utrwalania ich za pomocą urządzeń rejestrujących obraz
i dźwięk.
Bezsprzecznie uznać należy, że ustawodawca jest racjonalny i w konsekwencji przyjął, iż transmisja obrad rady nie może podlegać jakimkolwiek ograniczeniom w tym ograniczeniom wynikającym z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Tym samym, mając na względzie fakt, iż transmisja obrad rady na żywo uniemożliwia fizycznie i technologicznie, ingerowanie w treści przekazu transmisji z obrad rady na żywo, przyjąć należy, że gdyby zamiarem racjonalnego ustawodawcy była ochrona osób fizycznych, w związku z przetwarzaniem danych osobowych podczas transmisji z obrad rady, to ponad wszelką wątpliwość nie unormowałby obowiązku ustawowego do transmisji obrad rady. Nawet gdyby przyjąć, iż zamiarem ustawodawcy byłaby ochrona osób fizycznych w związku
z przetwarzaniem danych osobowych podczas transmisji z obrad rady to wyraźnie ustawodawca wskazałby to w przepisach normujących obowiązek transmisji obrad rady. Ustawodawca jednak tego nie uczynił, czym uznał, iż transmisja z obrad rady nie narusza obowiązków wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Ponadto zgodnie z przepisem art. 6 ust. 1 litera „c” z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, przetwarzanie jest zgodne
z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
W konsekwencji transmisja z obrad rady jest wypełnieniem obowiązku prawnego ciążącego na administratorze (Burmistrzu Miastka) unormowanego w przepisie art. 20 ust. 1a ustawy
z dnia 8 marca 1990 roku o samorządzie gminnym i w rezultacie przetwarzanie danych osobowych osób fizycznych (radnych i osób obecnych na sesji rady) poprzez transmisję obrad rady jest jak najbardziej zgodne z obowiązującymi przepisami prawa, w tym
z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Wobec powyższego w rzeczywistości nie może być mowy o jakimkolwiek naruszeniu obowiązujących przepisów prawa, bowiem transmisja z obrad rady jest wykonaniem ustawowego obowiązku i tym samym wymienione nie może mieć zastosowania
w przedstawionej sprawie w zakresie naruszenia procedur związanych z przetwarzaniem danych osobowych, ponieważ nie doszło do jakiegokolwiek naruszenia przepisów obowiązujących w tym zakresie.
Niezależnie od powyższego należy zauważyć, iż kwestia utrwalenia na nagraniu niewłaściwych i niestosownych wypowiedzi radnych, istotnie jest niezgodna z etyką wykonywania funkcji radnego Rady Miejskiej w Miastku i nie powinna w ogóle mieć miejsca.
Pragnę również zauważyć, że pełnienie funkcji radnego zobowiązuje do należytego zachowania, etycznej postawy oraz wypowiadania się w sposób kulturalny, nie tylko podczas wykonywania mandatu radnego, ale także poza obradami sesji, komisji lub innych spotkań.
Załączniki do pobrania
Lp. | Nazwa pliku | Data dodania |
---|---|---|
1 | Naruszenia ochrony danych osobowych w związku z transmisją i utrwalaniem obrad sesji RM w dn. 29 czerwca 2023 r. - załącznik (odpowiedź) | 2023-08-18 |
Metadane - wyciąg z rejestru zmian
Akcja | Osoba | Data |
---|---|---|
Dodanie dokumentu: | Wioleta Mydło | 18-08-2023 10:50:04 |
Osoba, która wytworzyła informację lub odpowiada za treść informacji: | Burmistrz Miastka - Witold Zajst | 14-09-2023 |
Ostatnia aktualizacja: | Wioleta Mydło | 09-10-2023 12:36:35 |