Polskie Radio Szczecin z karą UODO za ujawnienie danych osobowych syna posłanki

Opracowanie: Michał Kowalski

W materiale prasowym opublikowanym w Polskim Radio Szczecin w 2022 r., został opisany fakt skazania za molestowanie seksualne. Dziennikarz w materiale ujawnił, że ofiarą miał paść syn posłanki; zrobił to w taki sposób, że dziecko można było zidentyfikować. Po ujawnieniu faktu molestowania osoba ta popełniła samobójstwo. Sprawę tę badała prokuratura.

Przewodniczący UODO, Mirosław Wróblewski, zdecydował się w tej sytuacji na przeprowadzenie szczegółowej kontroli, mającej na celu sprawdzenie, czy naruszanie prywatności w Radiu Szczecin może mieć charakter systemowy. Kontrola przeprowadzona przez UODO ujawniła liczne zaniedbania w dziedzinie ochrony danych osobowych.

W toku postępowania prowadzonego przez organ nadzorczy okazało się, że radio jako administrator danych osobowych, nie przeprowadziło analizy ryzyka dotyczącej operacji przetwarzania danych osobowych w kontekście działalności redakcyjnej (tworzenie i publikowanie materiałów prasowych). Ponadto nie wprowadzono środków bezpieczeństwa danych zapewniających zdolność do ciągłego utrzymania poufności, integralności, dostępności oraz odporności systemów i usług przetwarzania z powodu:

• braku jasnych i przejrzystych zasad postępowania z materiałami prasowymi zawierających dane osobowe, regulujących obowiązek sprawdzania tych materiałów przed ich publikacją pod kątem danych osobowych umożliwiających identyfikację osób fizycznych, które mogłyby naruszać przepisy prawa lub prawa i wolności osób fizycznych;

• braku szyfrowania nośników z danymi osobowymi używanych poza obszarem przetwarzania.

Po przeprowadzonej kontroli przez UODO, zgodnie z wydaną decyzją, Polskie Radio Szczecin ma obowiązek usunąć stwierdzone naruszenia w ciągu 60 dni. Ponadto, Prezes UODO nałożył na stację radiową karę administracyjną w wysokości 56 824 zł.

W decyzji PUODO zaznacza, że chociaż wiele aspektów działalności związanej z redagowaniem, przygotowywaniem, tworzeniem lub publikowaniem materiałów prasowych oraz tworzeniem treści w ramach działalności literackiej lub artystycznej nie podlega RODO, to niektóre obowiązki nałożone na administratorów przez RODO muszą być spełnione, aby:

• zapobiegać ryzyku naruszenia praw lub wolności osób fizycznych (art. 24 ust. 1 RODO),

• zapewnić bezpieczeństwo przetwarzania danych, między innymi przez pseudonimizację i szyfrowanie (art. 32 ust. 1 i 2 RODO).

Polskie Radio Szczecin jako administrator danych osobowych powinno wprowadzić adekwatne środki bezpieczeństwa, które zapewniłyby stałą ochronę poufności, a także integralności, dostępności i odporności systemów oraz usług przetwarzania danych używanych do działalności związanej z redagowaniem, przygotowywaniem, tworzeniem czy publikowaniem treści prasowych.

Zarówno brak szyfrowania urządzeń i nośników używanych do przetwarzania danych osobowych świadczyły w ocenie organu nadzorczego o braku zdolności do stałego zapewniania poufności, integralności, dostępności i wytrzymałości systemów oraz usług przetwarzania, o której mowa w art. 32 ust. 1 lit. b) RODO.

Organ nadzorczy wskazał również na przepisy Prawa prasowego, zgodnie z którym nie można bez zgody zainteresowanej osoby ujawniać informacji ani danych dotyczących jej życia prywatnego, chyba że jest to bezpośrednio związane z jej działalnością publiczną. Zakaz publikacji obejmuje zatem wszelkie informacje dotyczące osoby fizycznej, która jest zidentyfikowana lub możliwa do zidentyfikowania, co wynika z definicji danych osobowych zawartej w art. 4 pkt 1 RODO. Podczas kontroli PUODO ustalono zaś, że w Polskim Radiu Szczecin nie istnieje żadna zasada dotycząca weryfikacji materiałów prasowych zawierających dane osobowe, których publikacja może być ograniczona przez przepisy Prawa prasowego.

• decyzja Prezesa Urzędu Ochrony Danych Osobowych DKN.5112.10.2024