Samorządy jako podmioty publiczne zobowiązane są na podstawie przepisów prawnych do posiadania przede wszystkim BIP. Strona internetowa nie jest wymagana obligatoryjnie i to, czy dana JST będzie ją mieć, zależy od decyzji wewnętrznej. Czasem strony internetowe i BIP dublują się w pewnym zakresie, ale trzeba wyraźnie powiedzieć, że to BIP jest tym najważniejszym komunikatorem, który przekazuje lokalnej (i nie tylko) społeczności najważniejsze wiadomości o strukturze, sposobie zarządzania i działalności JST. BIP ma sprawiać, by ta działalność była transparentna i obywatele mogli zapoznać się z jej wynikami, a także brać w tym procesie czynny udział. Jak jednak jednostki samorządu terytorialnego powinny prowadzić swoje strony internetowe w obliczu nowych regulacji? Na to pytanie odpowiedź przedstawiona zostanie w treści niniejszego artykułu.
Co musi być na BIP-ie?
Strony internetowe JST zawierają bardzo dużo informacji. Do zamieszczania części z nich jednostki te zobowiązane są na podstawie przepisów prawa. Z odbywających się regularnie sesji rady JST sporządzany jest protokół oraz nagranie audiowizualne. Obowiązek ich upublicznienia wynika wprost z art. 11b ustawy o samorządzie gminnym oraz art. 8a ustawy o samorządzie powiatowym. Na ich podstawie działalność organów jednostek samorządu terytorialnego jest jawna i tym samym dostęp do dokumentów wynikających z realizacji zadań publicznych powinien zostać umożliwiony obywatelom. W treści protokołów dane mieszkańców oraz osób, które nie pełnią funkcji publicznych powinny zostać zanonimizowane w taki sposób, by nie można było zidentyfikować, która podczas sesji zabrała głos w sprawie, która była przedmiotem obrad.
W związku z tym publikowana wersja protokołu nie powinna zawierać pełnego imienia i nazwiska takich osób, a jedynie ich inicjały. Ponadto nie powinno wskazywać się takich danych, jak np. wykształcenie, stanowisko pracy, ponieważ publikując te informacje, pomimo anonimizacji imienia i nazwiska, można łatwo tę osobę zidentyfikować. Jest to możliwe szczególnie w małych gminach lub powiatach, gdzie mieszkańcy się znają. Taka sama zasada dotyczy także uchwał rady miasta czy powiatu publikowanych w BIP lub na stronach internetowych. Jeżeli znajdują się tam dane osobowe osób fizycznych, to powinny również zostać zanonimizowane w sposób, który uniemożliwi ich identyfikację.
W przypadku, gdy jednostka będzie chciała wykorzystać fotografie, na których znajdują się osoby niepełniące funkcji publicznej i wykonujące te czynności, zobowiązana jest pozyskać zgodę tych osób na przetwarzanie ich danych osobowych biometrycznych, czyli wizerunku
Jeżeli chodzi o nagrania z sesji, wskazać należy, że utrwalanie wizerunku radnych czy osób pełniących funkcje publiczne, np. starosty, wójta, burmistrza, prezydenta, czy sekretarza jest dozwolone prawem na podstawie art. 81 ust. 2 pkt 1 ustawy o prawie autorskim i prawach pokrewnych. Nie wymaga zezwolenia rozpowszechnianie wizerunku osoby, gdy jest to dokonywane w związku z pełnieniem przez nią funkcji publicznych. Po spełnieniu tej przesłanki istnieją podstawy do jego rozpowszechniania. Dane biometryczne, czyli wizerunek twarzy, cechy behawioralne i fizjologiczne mogą więc być przetwarzane w przypadku osoby, która pełni funkcje publiczne bez jej zgody na przetwarzanie tych danych. Natomiast w przypadku innych uczestników sesji niebędących osobami publicznymi – pokazanie ich wizerunków wymaga uzyskania od tych osób zgody na przetwarzanie ich danych osobowych, czyli w tym konkretnym przypadku wizerunku. Zgoda ta, zgodnie z nowym rozporządzeniem unijnym, powinna być dobrowolna i wyrażona w taki sposób, by administrator danych osobowych, w tym wypadku gmina lub powiat, potrafił wykazać fakt jej udzielenia. Dodatkowo wraz z uzyskaniem zgody takiego uczestnika sesji należy udzielić mu informacji o tożsamości organu, danych inspektora ochrony danych osobowych, celu przetwarzania danych, podstawie prawnej przetwarzania, przysługującej osobie fizycznej prawach, odbiorcach danych, okresie, przez jaki dane będą przetwarzane. Dopiero po uzyskaniu zgody oraz realizacji obowiązku informacyjnego gmina lub powiat mogą przetwarzać dane osobowe uczestników sesji w formie nagrania audiowizualnego. W przypadku dokonywania tej czynności rozważyć będzie również trzeba dokonanie oceny skutków przetwarzania danych osobowych.
Fotorelacje
Na stronach internetowych publikowane są w ramach promocji różnego rodzaju działalności JST, fotorelacje i informacje zawierające zdjęcia z różnego rodzaju imprez, których są one organizatorem. W przypadku, gdy jednostka będzie chciała wykorzystać fotografie, na których znajdują się osoby niepełniące funkcji publicznej i wykonujących tych czynności, zobowiązana jest pozyskać zgodę tych osób na przetwarzanie ich danych osobowych biometrycznych, czyli wizerunku. Forma pozyskania tej zgody jest dowolna, pamiętać jednak musimy o fakcie, że JST jako administrator tych danych musi wykazać, że taką zgodę pozyskała. Jeżeli takiej zgody nie pozyska, nie może publikować wizerunku osób, które brały udział w tych uroczystościach. Dotyczy to również wizerunków dzieci, których publikacja wymaga zgody ich opiekunów prawnych.
Na stronach internetowych znajdziemy wiele fotorelacji często nawet sprzed kilku lat, ponieważ nie są one usuwane lub przenoszone do archiwum. Zgodnie z przepisami nowego rozporządzenia unijnego dotyczącego ochrony danych osobowych administrator, gdy pozyskuje dane od osoby fizycznej, zobowiązany jest, jeżeli to możliwe, wskazać okres, przez jaki dane będą przetwarzane lub kryteria ustalenia tego okresu. Tym samym nie można takich danych pozostawiać na stronie bez ograniczeń. Po spełnieniu przez publikacje swojej roli, powinna ona zostać przez administratora danych usunięta. Przez jaki okres można przetwarzać dane osobowe w postaci wizerunku twarzy osób znajdujących się na fotorelacjach tworzonych przez dział promocji JST? Odpowiedź na to pytanie należy do administratora danych osobowych, który określając cel przetwarzania danych, powinien wskazać przez jaki okres te dane osobowe powinny znajdować się na stronie, a po jego upływie pamiętać o ich usunięciu, ponieważ dalsze ich przetwarzanie należy klasyfikować jako naruszenie. Na niektórych stronach internetowych możemy znaleźć również wizerunki pracowników urzędów. Z reguły dotyczy to kadry kierowniczej JST. Tu również należy pamiętać, że podobnie jak w przypadkach opisanych powyżej, pracodawca powinien pozyskać od tych osób zgodę na przetwarzanie ich danych, a po zakończeniu stosunku pracy lub w przypadku zmian kadrowych usunąć je ze strony internetowej. Tym samym JST zobowiązane są do czuwania nad aktualizacją swoich BIP i stron internetowych oraz prowadzić na bieżąco kontrolę zamieszczanych tam treści.
Inspektor ochrony danych osobowych
Zgodnie z art. 35 rozporządzenia unijnego organy państwowe zobowiązane są wyznaczyć inspektora ochrony danych osobowych. Projektowane przepisy polskiej ustawy o ochronie danych osobowych doprecyzowują, że chodzi o jednostki sektora finansów publicznych, czyli również jednostki samorządu terytorialnego. W związku z tym są one zobowiązane wyznaczyć takie osoby w swojej strukturze organizacyjnej spośród pracowników lub korzystać z outsourcingu tych usług. Niezależnie od tego, jaką formę wybiorą, dane inspektora powinny zostać umieszczone w BIP i na stronie internetowej tak, by każda osoba fizyczna mogła mieć do nich dostęp. W szczególności powinna to być informacja, że osoby fizyczne mogą realizować swoje prawa, a także zgłaszać się ze sprawami dotyczącymi ochrony ich danych osobowych do inspektora. Dane inspektora powinny zawierać miejsce urzędowania, numer telefonu oraz dedykowany adres mailowy. Oczywiście można umożliwić osobom również inne formy kontaktu, zamieszczając na stronie internetowej formularz kontaktowy do inspektora.
Choć w opinii Grupy Roboczej art. 29 wskazano, że podanie imienia i nazwiska inspektora nie jest elementem niezbędnym, należy uznać to za dobrą praktykę i zamieścić taką informację. Ocena, jak postąpić należy jednak już konkretnie do administratora danych. Na koniec warto jeszcze wskazać, że jeżeli w ramach wewnętrznie przeprowadzonego audytu ustalono, że jednostka samorządu przetwarza niepotrzebne dane, warto te wnioski uwzględnić również analizując treści publikowane na stronach internetowych. Być może wówczas okaże się, że zajdzie konieczność zmiany druków wniosków i innych dokumentów, w których urząd żądał od obywateli podania zbyt dużej ilości danych, niepotrzebnych do załatwienia danej sprawy.
Jest to bardzo ważne ze względu na możliwość wystąpienia konfliktów na linii obywatel – urząd, które w efekcie zakończyć się mogą w sądzie.
W ramach tegorocznego V Ogólnopolskim Seminarium Sekretarzy porozmawiamy o pozycji i obowiązkach sekretarza w kontekście zmieniających się przepisów prawnych. Położymy nacisk na organizację wyborów oraz cyfryzację usług publicznych. Przedstawimy praktyczne wskazówki w kontekście RODO, prawa pracodawcy oraz przykłady narzędzi motywacyjnych w samorządzie.
