Ujawnienie danych osobowych niezwiązanych z pełnieniem funkcji publicznej bez odpowiedniej podstawy przetwarzania było przyczyną nałożenia kary UODO na Polskie Radio Szczecin w wysokości ponad 56 tys. zł. Sprawa dotyczyła ujawnienia danych osobowych syna posłanki i braku procedur chroniących prawa bohaterów publikacji radiowych.
Opracowanie: Michał Kowalski
W materiale prasowym opublikowanym w Polskim Radio Szczecin w 2022 r., został opisany fakt skazania za molestowanie seksualne. Dziennikarz w materiale ujawnił, że ofiarą miał paść syn posłanki; zrobił to w taki sposób, że dziecko można było zidentyfikować. Po ujawnieniu faktu molestowania osoba ta popełniła samobójstwo. Sprawę tę badała prokuratura.
Przewodniczący UODO, Mirosław Wróblewski, zdecydował się w tej sytuacji na przeprowadzenie szczegółowej kontroli, mającej na celu sprawdzenie, czy naruszanie prywatności w Radiu Szczecin może mieć charakter systemowy. Kontrola przeprowadzona przez UODO ujawniła liczne zaniedbania w dziedzinie ochrony danych osobowych.
W toku postępowania prowadzonego przez organ nadzorczy okazało się, że radio jako administrator danych osobowych, nie przeprowadziło analizy ryzyka dotyczącej operacji przetwarzania danych osobowych w kontekście działalności redakcyjnej (tworzenie i publikowanie materiałów prasowych). Ponadto nie wprowadzono środków bezpieczeństwa danych zapewniających zdolność do ciągłego utrzymania poufności, integralności, dostępności oraz odporności systemów i usług przetwarzania z powodu:
braku jasnych i przejrzystych zasad postępowania z materiałami prasowymi zawierających dane osobowe, regulujących obowiązek sprawdzania tych materiałów przed ich publikacją pod kątem danych osobowych umożliwiających identyfikację osób fizycznych, które mogłyby naruszać przepisy prawa lub prawa i wolności osób fizycznych;
braku szyfrowania nośników z danymi osobowymi używanych poza obszarem przetwarzania.
Administrator nie wprowadził również stosownych środków technicznych i organizacyjnych, aby zapewnić regularne testowanie, monitorowanie oraz ocenę efektywności tych środków, które mają na celu ochronę danych osobowych.
Po przeprowadzonej kontroli przez UODO, zgodnie z wydaną decyzją, Polskie Radio Szczecin ma obowiązek usunąć stwierdzone naruszenia w ciągu 60 dni. Ponadto, Prezes UODO nałożył na stację radiową karę administracyjną w wysokości 56 824 zł.
W decyzji PUODO zaznacza, że chociaż wiele aspektów działalności związanej z redagowaniem, przygotowywaniem, tworzeniem lub publikowaniem materiałów prasowych oraz tworzeniem treści w ramach działalności literackiej lub artystycznej nie podlega RODO, to niektóre obowiązki nałożone na administratorów przez RODO muszą być spełnione, aby:
zapobiegać ryzyku naruszenia praw lub wolności osób fizycznych (art. 24 ust. 1 RODO),
zapewnić bezpieczeństwo przetwarzania danych, między innymi przez pseudonimizację i szyfrowanie (art. 32 ust. 1 i 2 RODO).
Polskie Radio Szczecin jako administrator danych osobowych powinno wprowadzić adekwatne środki bezpieczeństwa, które zapewniłyby stałą ochronę poufności, a także integralności, dostępności i odporności systemów oraz usług przetwarzania danych używanych do działalności związanej z redagowaniem, przygotowywaniem, tworzeniem czy publikowaniem treści prasowych.
Zarówno brak szyfrowania urządzeń i nośników używanych do przetwarzania danych osobowych świadczyły w ocenie organu nadzorczego o braku zdolności do stałego zapewniania poufności, integralności, dostępności i wytrzymałości systemów oraz usług przetwarzania, o której mowa w art. 32 ust. 1 lit. b) RODO.
Z uwagi na brak procedur zabezpieczających prawa osób opisanych w publikacjach oraz niedostatek środków technicznych, istniało duże ryzyko, że informacje oraz dane dotyczące prywatnej sfery życia mogą być ujawniane w materiałach prasowych bez zgody zainteresowanej osoby.
Organ nadzorczy wskazał również na przepisy Prawa prasowego, zgodnie z którym nie można bez zgody zainteresowanej osoby ujawniać informacji ani danych dotyczących jej życia prywatnego, chyba że jest to bezpośrednio związane z jej działalnością publiczną. Zakaz publikacji obejmuje zatem wszelkie informacje dotyczące osoby fizycznej, która jest zidentyfikowana lub możliwa do zidentyfikowania, co wynika z definicji danych osobowych zawartej w art. 4 pkt 1 RODO. Podczas kontroli PUODO ustalono zaś, że w Polskim Radiu Szczecin nie istnieje żadna zasada dotycząca weryfikacji materiałów prasowych zawierających dane osobowe, których publikacja może być ograniczona przez przepisy Prawa prasowego.
decyzja Prezesa Urzędu Ochrony Danych Osobowych DKN.5112.10.2024
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
