RODO a partycypacja on-line
13 maja Fundacja Stocznia zorganizowała dla praktyków i praktyczek partycypacji szkolenie on-line poświęcone tematowi ochrony danych osobowych w kontekście spotkań z mieszkańcami w internecie. Katarzyna Sadło, ekspertka prowadząca szkolenie, podsumowała jego najważniejsze wątki i podzieliła się wskazówkami dotyczącymi stosowania przepisów o ochronie danych osobowych w partycypacji obywatelskiej on-line. Zapraszamy do lektury!
Katarzyna Sadło, trenerka i konsultantka organizacji pozarządowych (projekciarnia.pl):
Pandemia koronawirusa zmusiła nas do przeniesienia znacznej części działań do przestrzeni wirtualnej, dotyczy to także rozmaitych spotkań odbywanych w ramach partycypacji obywateli i obywatelek w życiu publicznym. Szczególne okoliczności nie zwalniają nas jednak z obowiązków przestrzegania przepisów dotyczących ochrony danych osobowych, a wirtualne formy partycypacji mogą wiązać się z zagrożeniami, z jakimi raczej nie spotykamy się podczas spotkań odbywanych tradycyjnie.
Organizując spotkanie „w realu”, w dużo większym stopniu jesteśmy w stanie kontrolować to, co się dzieje na sali – na przykład utrwalanie spotkania przez jego uczestników i późniejsze wykorzystanie takiego nagrania. Jako organizator nie zapobiegniemy nagrywaniu spotkania po kryjomu, ale panujemy nad tym, czy uczestnicy robią sobie nawzajem zdjęcia lub filmują. W spotkaniu odbywającym się „w wirtualu” każdy jego uczestnik może w dowolnym momencie utrwalić wizerunek każdego innego uczestnika (zazwyczaj podpisany też jego imieniem i nazwiskiem), może też nagrywać całe spotkanie i takie nagranie opublikować bez wiedzy i zgody uczestników.
W serwisach społecznościowych pełno jest zdjęć z wideospotkań, na których widać twarze ich uczestników podpisane imieniem i nazwiskiem – nie sądzę, żeby wszystkie te osoby były świadome tego, jak ich udział w takim spotkaniu może zostać utrwalony i wykorzystany, o wyrażeniu zgody na bycie nagrywanym nie wspominając. Sama uczestniczyłam w spotkaniach, gdzie nikt nie uprzedził uczestników, że spotkanie jest nagrywane, a nagranie (albo same zdjęcia twarzy uczestników) zostanie następnie opublikowane na stronie internetowej organizatora lub na jego fanpage’u na Facebooku. Tymczasem jako organizator nie możemy zakładać, że uczestnik przez sam fakt zalogowania się na nasze spotkanie wyraził zgodę na dalsze dysponowanie jego wizerunkiem, zaś nawet w przypadkach gdy jego zgoda nie jest potrzebna, bo dysponujemy inną podstawą prawną przetwarzania danych, musimy pamiętać, że ma prawo do uprzedniej pełnej informacji na temat celu i sposobu przetwarzania jego danych osobowych przez organizatora spotkania.
Co to jest przetwarzanie danych osobowych?
Zanim przejdę do omówienia konkretnych przykładów, trochę o podstawach.
Dane osobowe to informacje o osobie fizycznej, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie imienia i nazwiska, numeru identyfikacyjnego, danych o lokalizacji, identyfikatora internetowego lub szczególnych czynników określających jej fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość. Brzmi skomplikowanie, ale jest dość proste.
Jeśli do ustalenia tożsamości konkretnej osoby wystarczy jej imię i nazwisko, np. dziennikarz sportowy Żelisław Żyżyński jest i zawsze będzie jedyną osobą na świecie o takim imieniu i nazwisko, to z pewnością są to jego dane osobowe. Jednak aby coś było daną osobową wcale nie musi zawierać imienia i nazwiska, daną osobową jest bowiem sam wizerunek osoby (jeśli jest ona na nim rozpoznawalna), numer jej prywatnego telefonu komórkowego czy adres e-mail pozwalający dojść, o kogo chodzi (np. katarzyna@projekciarnia.pl w zupełności wystarcza do jednoznacznego ustalenia tożsamości osoby, która go używa). Jeśli więc organizujemy spotkanie on-line i osoby w nim uczestniczące podają wyłącznie swój adres e-mail, z dużym prawdopodobieństwem możemy przyjąć, że któraś z nich ma taki, który pozwala ustalić jej tożsamość, a zatem: gromadząc w trakcie rekrutacji na spotkanie same tylko adresy e-mail, już przetwarzamy dane osobowe.
Przetwarzaniem danych osobowych jest bowiem każda operacja na danych osobowych – gromadzenie, przeglądanie, utrwalanie, przechowywanie, ujawnianie czy usuwanie. Jeśli więc ktoś myśli, że organizując spotkanie on-line, nie przetwarza danych osobowych, bo nic specjalnego z nimi nie robi, najprawdopodobniej jest w błędzie. Nawet bowiem organizując spotkanie w formie live’a na swojej stronie na Facebooku, przetwarzamy dane osobowe osób, które nasz fanpage polubiły, i mamy wobec nich obowiązek informacyjny. Więcej o tym można przeczytać w artykule na stronie Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/pl/138/1140.
Jakie są zasady przetwarzania danych?
Żeby prawidłowo przetwarzać dane osobowe w ramach partycypacji społecznej, trzeba poznać kilka podstawowych zasad rządzących całym procesem zgodnego z rozporządzeniem o ochronie danych osobowych (RODO) przetwarzania danych osobowych – w samym RODO nie znajdziemy bowiem pasujących do każdej sytuacji odpowiedzi na pytanie, jakie dane mamy prawo przetwarzać, jak długo, komu możemy przekazywać, jak je zabezpieczać i kiedy musimy je usunąć.
Zasada ograniczenia celu – dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób z nimi niezgodny. Przymierzając się do pozyskiwania danych, musimy odpowiedzieć sobie na pytanie, jaki jest cel ich pozyskiwania i dalszego przetwarzania, a następnie – czy cel ten nie mógłby zostać osiągnięty bez gromadzenia danych. Czy organizując spotkanie informacyjne, muszę naprawdę mieć imienną listę obecności uczestników? Wypełniając obowiązek informacyjny, będziemy musieli podać cel przetwarzania danych, on też będzie wyznaczał nie tylko zakres danych, jakie możemy pozyskiwać, lecz także jak długo możemy je przechowywać.
Zasada minimalizacji danych – przetwarzamy dane adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Jeśli celem przetwarzania danych jest rekrutacja na szkolenie on-line i dane są nam potrzebne wyłącznie po to, żeby wysłać zainteresowanym link do pokoju na Zoomie, jedyną daną, jakiej potrzebujemy, jest adres e-mail uczestnika, wszelkie dodatkowe informacje – jakkolwiek bylibyśmy ich ciekawi – są zbędne w kontekście celu, w jakim przetwarzamy dane.
Zasada ograniczenia przechowywania – dane osobowe przechowujemy w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane. Jeśli zebraliśmy adresy e-mail uczestników konsultacji społecznych, żeby rozesłać im raport z konsultacji, dalsze przechowywanie tych danych nie ma już uzasadnienia, bo osiągnęliśmy cel, w jakim zostały zebrane.
Większość administratorów danych osobowych ma skłonność do zbierania nadmiaru danych oraz przechowywania ich jeszcze długo po tym, jak przestały już być potrzebne do realizacji celu, w jakim zostały zebrane. Tymczasem RODO oddaje osobie, której dane dotyczą, kontrolę nad tym, co i w jakim celu jest robione z jej danymi osobowymi, kto i jak długo je przechowuje i komu je udostępnia. A my jako administrator danych mamy obowiązek o tym informować w tzw. klauzuli informacyjnej.
Jakie mamy obowiązki informacyjne w związku z przetwarzaniem?
Ustaliliśmy, że organizując jakiekolwiek wydarzenie on-line zakładające choćby minimalną interakcję z uczestnikami, przetwarzamy ich dane osobowe, np. adres e-mail, na który wyślemy im link do spotkania na Zoomie, czy ich wizerunek lub głos, które będziemy widzieć/słyszeć w trakcie spotkania, a być może nawet je utrwalimy, nagrywając spotkanie czy robiąc zrzut ekranu. Jednym z naszych obowiązków jako organizatora takiego spotkania jest tzw. obowiązek informacyjny, którego musimy dopełnić w momencie pozyskiwania danych, czyli np. prosząc o wypełnienie formularza zgłoszeniowego.
RODO wymaga, aby każda osoba, której dane pozyskujemy (a więc już przetwarzamy), została poinformowana między innymi o:
- danych administratora,
- celu przetwarzania danych,
- podstawie prawnej przetwarzania danych,
- planowanym terminie usunięcia danych,
- planowanych odbiorcach danych,
- przysługujących jej prawach w związku z przetwarzaniem jej danych.
Więcej o spełnianiu obowiązku informacyjnego można przeczytać w artykule na stronie Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/pl/138/883.
RODO nie narzuca formy, w jakiej obowiązek informacyjny powinien zostać spełniony – ważne, aby stało się to już w trakcie pozyskiwania danych. Jeśli planujemy nagrać spotkanie, np. po to, aby potem stworzyć z niego notatkę, trzeba uczestników uprzedzić nie tylko o samym nagrywaniu, lecz także o późniejszym wykorzystaniu nagrania. Dla uczestnika może być istotne, czy to, co powie, trafi do imiennego stenogramu, czy do zanonimizowanej notatki.
Zachęcam też do zaproponowania uczestnikom dodatkowych zasad podczas wspólnych wirtualnych spotkań, np. uprzedzania przed zrobieniem zdjęcia/zrzutu ekranu – nie będziemy w stanie tego w pełni wyegzekwować, ale warto wykorzystać początek spotkania na uczulenie wszystkich uczestników na wzajemne potrzeby i oczekiwania. Jedną z ważniejszych jest potrzeba kontrolowania, kto i po co utrwala nasz wizerunek, zwłaszcza jeśli łączymy się z własnego mieszkania i w niewyjściowej fryzurze.
Jaka jest podstawa prawna przetwarzania danych?
Jedną z najważniejszych rzeczy, jakie musimy ustalić, aby prawidłowo przetwarzać dane osobowe uczestników wydarzeń on-line, jest właściwa podstawa prawna przetwarzania przez nas danych osobowych. To od niej zależy, jakie prawa będą mieć osoby, których dane przetwarzamy, jak długo możemy je przetwarzać i komu ujawniać. Często w pozornie podobnych sytuacjach będziemy mieć bardzo różne podstawy prawne.
Jeden z najczęściej powtarzanych błędów to zakładanie, że najlepszą podstawą w każdym przypadku jest zgoda osoby, której dane dotyczą. Tymczasem w organizacjach pozarządowych, a tym bardziej w instytucjach publicznych będzie to stosunkowo rzadka podstawa przetwarzania danych, bowiem często mamy inne. Zanim podsuniecie uczestnikom spotkania formularz zgody na przetwarzanie danych osobowych – bez względu na to, czy jest organizowane w realu, czy w sieci – musicie sobie odpowiedzieć na pytanie, czy jeśli ta osoba na drugi dzień zażąda usunięcia jej danych, będziecie mogli to zrobić. Jeśli odpowiedź jest negatywna, prawdopodobnie macie inną niż zgoda podstawę prawną przetwarzania danych osobowych.
Przykład pierwszy: udział obywateli w zdalnym posiedzeniu rady gminy
Artykuł 20 ustawy o samorządzie gminnym mówi, że „obrady rady gminy są transmitowane i utrwalane za pomocą urządzeń rejestrujących obraz i dźwięk. Nagrania obrad są udostępniane w Biuletynie Informacji Publicznej i na stronie internetowej gminy oraz w inny sposób zwyczajowo przyjęty”. To samo będzie dotyczyć oczywiście obrad przeniesionych do przestrzeni wirtualnej, jeśli więc uczestniczymy zdalnie w takim posiedzeniu i zabieramy podczas niego głos, nasza wypowiedź zostanie nie tylko utrwalona, lecz także opublikowana. W tym przypadku bowiem podstawą przetwarzania jest art. 6 ust. 1c RODO mówiący, że „przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”. Nie zostaniemy więc poproszeni o zgodę na przetwarzanie danych i nie będziemy mogli mieć pretensji, gdy na stronie urzędu zobaczymy swoją nagraną podczas sesji wypowiedź – jej organizator ma po prostu obowiązek tę wypowiedź utrwalić i ujawnić. Taka sama będzie podstawa prawna przetwarzania danych osobowych w każdym przypadku, gdy istnieje jakiś przepis – w randze ustawy, ale także np. uchwały rady gminy – nakładający na organizatora sesji/konsultacji/spotkania obowiązek przetwarzania jakichś danych jego uczestników.
Przykład drugi: organizacja prowadzi spotkanie on-line w ramach projektu
Natknęłam się niedawno na ogłoszenie o spotkaniu konsultacyjnym on-line prowadzonym przez organizację w ramach realizowanego przez nią ze środków miejskich zadania publicznego. Znając logikę zasad realizowania projektów, zwłaszcza ze środków publicznych, zakładam (bo niestety organizator nie spełnił tutaj obowiązku informacyjnego wobec osób zaproszonych na spotkanie), że tak jak w przypadku większości działań realizowanych z dotacji ma obowiązek prowadzenia dokumentacji zrealizowanych działań w formie chociażby listy obecności uczestników, zawierającej ich podstawowe dane osobowe, w tym także dane kontaktowe na potrzeby przyszłej ewaluacji. Ponownie więc mamy do czynienia z sytuacją, w której organizator spotkania/szkolenia/konsultacji nie może zagwarantować uczestnikom, że na ich życzenie w dowolnym momencie usunie wszystkie ich dane osobowe. Ale inaczej niż w poprzednim przypadku, nie może powołać się na ciążący na nim prawny obowiązek, bowiem jego obowiązki wynikają nie z prawa, a z umowy dotacji. W tym przypadku podstawą prawną będzie zatem art. 6 ust. 1f RODO mówiący, że „przetwarzanie danych jest niezbędne w celu realizacji prawnie uzasadnionego interesu administratora”, jakim jest konieczność udokumentowania i rozliczenia działań projektowych. Realizując obowiązek informacyjny, administrator będzie musiał wskazać planowany termin usunięcia danych – znajdzie go w umowie dotacji, będzie to termin, który grantodawca określił jako ostateczny termin przechowywania dokumentacji projektu. Będzie musiał też poinformować, kto może być odbiorcą danych, czyli komu mogą zostać ujawnione – takim odbiorcą będzie np. podmiot zlecający zadanie publiczne oraz podmioty przez niego wskazane do przeprowadzenia kontroli czy ewaluacji projektu.
Przykład trzeci: samorząd organizuje konsultacje społeczne
Artykuł 5a ustawy o samorządzie gminnym daje samorządom prawo do ustalania w drodze uchwały własnych zasad przeprowadzania konsultacji społecznych. W zależności od gminy uchwały takie mają różne zapisy, wiele z nich dopuszcza także anonimowe zgłaszanie uwag. Jeśli przyjęty uchwałą rady gminy regulamin prowadzenia konsultacji społecznych nie wymaga identyfikowania każdej osoby zabierającej głos w omawianej sprawie, takie same zasady będą miały zastosowanie do spotkań on-line. Organizator powinien pomyśleć zatem ,jak zagwarantować uczestnikom podobne warunki, jakie normalnie obowiązują na spotkaniach w realu. Jeśli jedną z przyjętych w danej miejscowości form konsultacji społecznych są otwarte spotkania mieszkańców, w których każdy ma prawo wziąć czynny udział i nie jest to uwarunkowane koniecznością podania jakichkolwiek danych osobowych, takie same zasady powinny obowiązywać także podczas konsultacji prowadzonych on-line. Nawet jednak w takim przypadku organizator konsultacji może gromadzić dane osobowe, np. adresy e-mail tych uczestników, którzy chcieliby po zakończeniu procesu konsultacji otrzymać ich podsumowanie. W takim przypadku podstawą przetwarzania danych osobowych będzie art. 6 ust. 1a RODO, czyli „zgoda osoby, której dane dotyczą”. Nie musi być potwierdzona własnoręcznym podpisem danej osoby, ale musi być wyraźna. Pytając o zgodę, organizator ma obowiązek poinformować daną osobę o jej prawie do wycofania zgody w dowolnym momencie i o prawie do żądania usunięcia swoich danych. Jest też związany celem przetwarzania – jeśli było nim poinformowanie o wyniku tych konkretnych konsultacji, to dane powinny zostać usunięte po zrealizowaniu tego celu.
Czy możemy publikować nagranie i/lub wizerunek uczestników?
Tak, jeśli uczestnicy wyrażą na to zgodę. Wyjątek stanowią sytuacje jak ta opisana w przykładzie pierwszym powyżej, gdzie utrwalenie za pomocą obrazu całego posiedzenia i późniejsza publikacja nagrania jest obowiązkiem zapisanym w ustawie. W każdym innym przypadku powinniśmy dobrze zastanowić się, czy na pewno jest to niezbędne, a jeśli tak – jaka będzie podstawa prawna przetwarzania (publikowania) wizerunku uczestników spotkania internetowego.
Z samego faktu uczestnictwa danej osoby w spotkaniu nie wynika prawo organizatora do dysponowania jej wizerunkiem, a to, że bardzo chciałby pochwalić się na swojej stronie wysoką frekwencją, nie jest wystarczającą przesłanką do swobodnego korzystania ze zrobionych zdalnie (a więc często bez świadomości zainteresowanej osoby) zdjęć. W większości przypadków podstawą prawną do opublikowania czyjegoś wizerunku będzie zgoda tej osoby. Organizator powinien zadbać o taką formę dokumentowania wydarzenia, żeby osoby odmawiające zgody na wykorzystanie ich wizerunku też mogły wziąć w nim udział.
Zdjęcie uczestników spotkania on-line, którzy nie wyrazili zgody na wykorzystanie wizerunku ;)