Temat: sesje rady powiatu

Przepis nie określa celu przetwarzania danych osobowych. Nie analizowano kwestii proporcjonalności obowiązku do praw podstawowych osób uczestniczących w sesji, w tym dzieci.

Temat: sesje rady powiatu

Dla mnie sprawa jasna, ustawa o samorządzie gminnym, art. 11b ust. 2 - "Jawność działania organów gminy obejmuje w szczególności prawo obywateli do uzyskiwania informacji, wstępu na sesje rady gminy i posiedzenia jej komisji" w związku z art. 20 ust. 1b - "Obrady rady gminy są transmitowane i utrwalane za pomocą urządzeń rejestrujących obraz i dźwięk. Nagrania obrad są udostępniane w Biuletynie Informacji Publicznej i na stronie internetowej gminy oraz w inny sposób zwyczajowo przyjęty".
Czyli każdy obywatel ma wstęp na sesję a sesja jest nagrywana i udostępniana.

Temat: sesje rady powiatu

Przemysław D.:
Dla mnie sprawa jasna, ustawa o samorządzie gminnym

Moim zdaniem ma zastosowanie art. 35 RODO.

1. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

10. Ust. 1–7 nie mają zastosowania, jeżeli przetwarzanie na mocy art. 6 ust. 1 lit. c) lub e) ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej.

Tu nie dokonano oceny skutków dla ochrony danych w ramach oceny skutków regulacji, tj. na poziomie ustawodawcy, więc musicie jej dokonać we własnym zakresie.

Co najmniej IOD, żeby być krytym, powinien skonsultować z UODO, czy należy dokonać oceny skutków.

Art. 39.1.Inspektor ochrony danych ma następujące zadania:
e) [...]w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Temat: sesje rady powiatu

Wszystko co napisałeś z RODO to prawda. Tylko zapomniałeś z art. 35 RODO zacytować ust. 4 - "Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1." W komunikacie PUODO z sierpnia 2018 r. z wykazem operacji wymagających przeprowadzenia oceny skutków dla ochrony danych nie widzę, żeby były sesje Rady Miasta, a sam komunikat mówi, że monitoring wizyjny nie podchodzi pod ocenę skutków.

Temat: sesje rady powiatu

Przemysław D.:
Wszystko co napisałeś z RODO to prawda. Tylko zapomniałeś z art. 35 RODO zacytować ust. 4 - "Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi

To jest wykaz operacji, co do których organ nadzorczy nakłada wymóg. Nie zwalnia to administratora z obowiązku dokonania oceny skutków we wszystkich innych przypadkach, kiedy materializują się przesłanki, o których mowa w ust. 1. A tu moim zdaniem są te przesłanki.

Jeśli uznacie inaczej, i tak musicie udokumentować fakt rozpatrywania tej ewentualności - no i powody, dla których uznaliście, że oceny skutków nie musicie przeprowadzić dla tego przetwarzania. Zasada rozliczalności do tego was obliguje.

Temat: sesje rady powiatu

No i co zrobicie jak wam wyjdzie wysokie ryzyko - złamiecie obowiązek ustawowy transmisji sesji? :)

Temat: sesje rady powiatu

Artykuł 36
Uprzednie konsultacje
1. Jeżeli ocena skutków dla ochrony danych, o której mowa w art. 35, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.

Temat: sesje rady powiatu

Do DPIA z automatu obliguje tylko wykaz PUODO. Jeśli czynności przetwarzania nie ma w wykazie, to schodzimy do poziomu ewentualnego rozważenia DPIA na podstawie art. 35 ust. 1 i ust. 3 RODO, tzn. czy podchodzimy pod przesłanki wskazane szczególnie w ust. 3. A tu już wchodzimy na grunt przepisów ogólnych, nieostrych, które podlegają (subiektywnej?) interpretacji ADO i jego IOD.
Dla jasności trzy przesłanki z ust. 3, które powodują prawdopodobieństwo dużego ryzyka naruszenia praw i wolności osób wspomnianego w art. 35 ust. 1:
a) systematyczna, kompleksowa oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
b) przetwarzanie na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub
c) systematyczne monitorowania na dużą skalę miejsc dostępnych publicznie.

Która z tych przesłanek zachodzi w kontekście udostępniania sesji Rady Miasta/Gminy/Powiatu/Sejmiku Wojewódzkiego? Nie jest to oczywiście katalog zamknięty przesłanek (art. 35 ust. 3), a wytyczne GR art. 29 dot. DPIA wskazują jakimi kryteriami się kierować dalej w kwestii przeprowadzenia DPIA.
"...do przetwarzania, które „z dużym prawdopodobieństwem może powodować wysokie ryzyko” należy uwzględnić następujące kryteria:
1. Ewaluacja lub ocena, w tym profilowanie i przewidywanie, szczególnie „aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą”. Przykładami mogą być np. bank, który sprawdza swoich klientów w bazie informacji kredytowej lub przedsiębiorstwo biotechnologiczne oferujące testy genetyczne.
2. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne lub podobne istotne skutki: Na przykład przetwarzanie może prowadzić do wyłączenia lub dyskryminacji osób. Przetwarzanie wywołujące niewielkie skutki lub niewywołujące skutków wobec osób nie odpowiada temu konkretnemu kryterium.
3. Systematyczne monitorowanie: Ten rodzaj monitorowania jest kryterium, ponieważ dane osobowe mogą być zbierane w okolicznościach, gdy osoby, których dane dotyczą, mogą nie być świadome faktu, kto zbiera ich dane i jak będą wykorzystane. Ponadto może być niemożliwe uniknięcie przez osoby fizyczne bycia przedmiotem takiego przetwarzania w często uczęszczanych (lub publicznie dostępnych) miejscach.
4. Dane wrażliwe.
5. Dane przetwarzane na dużą skalę.
6. Dokonano porównania lub połączenia zestawów danych.
7. Dane dotyczące osób wymagających szczególnej opieki: Na przykład pracownicy często napotykają poważne trudności w wyrażeniu sprzeciwu wobec przetwarzania prowadzonego przez ich pracodawcę, gdy jest powiązane z zarządzaniem zasobami ludzkimi.
8. Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych, jak na przykład połączenie wykorzystania odcisków palców i rozpoznawania twarzy do usprawnienia fizycznej kontroli dostępu, etc.
9. Transgraniczne przekazywanie danych poza Unię Europejską.
10. Gdy przetwarzanie samo w sobie „uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystania z usługi lub umowy” Przykładem jest sytuacja, gdy bank sprawdza swoich klientów w bazie informacji kredytowej, aby podjąć decyzję o zaproponowaniu im pożyczki.

GR Art. 29 uważa, że im więcej kryteriów jest spełnionych przez przetwarzanie, tym większe jest prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą, i w związku z tym wymagana jest DPIA. Co do zasady, operacja przetwarzania spełniająca mniej niż dwa kryteria może nie wymagać DPIA ze względu na niższy poziom ryzyka.
Jednak w niektórych przypadkach przetwarzanie spełniające tylko jedno z tych kryteriów wymagać będzie dokonania DPIA. Z drugiej strony, jeżeli administrator uważa, że mimo faktu, że przetwarzanie spełnia co najmniej dwa kryteria, uznaje się, że nie ma „prawdopodobieństwa wysokiego ryzyka”, musi on dokładnie udokumentować powody niedokonania DPIA."

Moim zdaniem, pokazanie analizy ryzyka, że nie jest wysokie oraz wykazanie, że przetwarzanie to nie łapie się pod art. 35 ust. 1 i 3 RODO, nie łapie się pod wykaz PUODO oraz nie łapie się pod kryteria GR art. 29 dot. DPIA są wystarczające do wykazania nieprzeprowadzenia DPIA.

Temat: sesje rady powiatu

Przemysław D.:
Moim zdaniem, pokazanie analizy ryzyka, że nie jest wysokie

Rozumiem mówimy o ryzyku naruszenia praw lub wolności osób, których dane dotyczą. Jakie wam konkretnie to ryzyko wyszło i jakie zagrożenia braliście pod uwagę?