Ujawnienie danych osobowych niezwiązanych z pełnieniem funkcji publicznej bez odpowiedniej podstawy przetwarzania było przyczyną nałożenia kary UODO na Polskie Radio Szczecin w wysokości ponad 56 tys. zł. Sprawa dotyczyła ujawnienia danych osobowych syna posłanki i braku procedur chroniących prawa bohaterów publikacji radiowych.
Opracowanie: Michał Kowalski
W materiale prasowym opublikowanym w Polskim Radio Szczecin w 2022 r., został opisany fakt skazania za molestowanie seksualne. Dziennikarz w materiale ujawnił, że ofiarą miał paść syn posłanki; zrobił to w taki sposób, że dziecko można było zidentyfikować. Po ujawnieniu faktu molestowania osoba ta popełniła samobójstwo. Sprawę tę badała prokuratura.
Przewodniczący UODO, Mirosław Wróblewski, zdecydował się w tej sytuacji na przeprowadzenie szczegółowej kontroli, mającej na celu sprawdzenie, czy naruszanie prywatności w Radiu Szczecin może mieć charakter systemowy. Kontrola przeprowadzona przez UODO ujawniła liczne zaniedbania w dziedzinie ochrony danych osobowych.
W toku postępowania prowadzonego przez organ nadzorczy okazało się, że radio jako administrator danych osobowych, nie przeprowadziło analizy ryzyka dotyczącej operacji przetwarzania danych osobowych w kontekście działalności redakcyjnej (tworzenie i publikowanie materiałów prasowych). Ponadto nie wprowadzono środków bezpieczeństwa danych zapewniających zdolność do ciągłego utrzymania poufności, integralności, dostępności oraz odporności systemów i usług przetwarzania z powodu:
braku jasnych i przejrzystych zasad postępowania z materiałami prasowymi zawierających dane osobowe, regulujących obowiązek sprawdzania tych materiałów przed ich publikacją pod kątem danych osobowych umożliwiających identyfikację osób fizycznych, które mogłyby naruszać przepisy prawa lub prawa i wolności osób fizycznych;
braku szyfrowania nośników z danymi osobowymi używanych poza obszarem przetwarzania.
Administrator nie wprowadził również stosownych środków technicznych i organizacyjnych, aby zapewnić regularne testowanie, monitorowanie oraz ocenę efektywności tych środków, które mają na celu ochronę danych osobowych.
Po przeprowadzonej kontroli przez UODO, zgodnie z wydaną decyzją, Polskie Radio Szczecin ma obowiązek usunąć stwierdzone naruszenia w ciągu 60 dni. Ponadto, Prezes UODO nałożył na stację radiową karę administracyjną w wysokości 56 824 zł.
W decyzji PUODO zaznacza, że chociaż wiele aspektów działalności związanej z redagowaniem, przygotowywaniem, tworzeniem lub publikowaniem materiałów prasowych oraz tworzeniem treści w ramach działalności literackiej lub artystycznej nie podlega RODO, to niektóre obowiązki nałożone na administratorów przez RODO muszą być spełnione, aby:
zapobiegać ryzyku naruszenia praw lub wolności osób fizycznych (art. 24 ust. 1 RODO),
zapewnić bezpieczeństwo przetwarzania danych, między innymi przez pseudonimizację i szyfrowanie (art. 32 ust. 1 i 2 RODO).
Polskie Radio Szczecin jako administrator danych osobowych powinno wprowadzić adekwatne środki bezpieczeństwa, które zapewniłyby stałą ochronę poufności, a także integralności, dostępności i odporności systemów oraz usług przetwarzania danych używanych do działalności związanej z redagowaniem, przygotowywaniem, tworzeniem czy publikowaniem treści prasowych.
Zarówno brak szyfrowania urządzeń i nośników używanych do przetwarzania danych osobowych świadczyły w ocenie organu nadzorczego o braku zdolności do stałego zapewniania poufności, integralności, dostępności i wytrzymałości systemów oraz usług przetwarzania, o której mowa w art. 32 ust. 1 lit. b) RODO.
Z uwagi na brak procedur zabezpieczających prawa osób opisanych w publikacjach oraz niedostatek środków technicznych, istniało duże ryzyko, że informacje oraz dane dotyczące prywatnej sfery życia mogą być ujawniane w materiałach prasowych bez zgody zainteresowanej osoby.
Organ nadzorczy wskazał również na przepisy Prawa prasowego, zgodnie z którym nie można bez zgody zainteresowanej osoby ujawniać informacji ani danych dotyczących jej życia prywatnego, chyba że jest to bezpośrednio związane z jej działalnością publiczną. Zakaz publikacji obejmuje zatem wszelkie informacje dotyczące osoby fizycznej, która jest zidentyfikowana lub możliwa do zidentyfikowania, co wynika z definicji danych osobowych zawartej w art. 4 pkt 1 RODO. Podczas kontroli PUODO ustalono zaś, że w Polskim Radiu Szczecin nie istnieje żadna zasada dotycząca weryfikacji materiałów prasowych zawierających dane osobowe, których publikacja może być ograniczona przez przepisy Prawa prasowego.
decyzja Prezesa Urzędu Ochrony Danych Osobowych DKN.5112.10.2024
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl