Ikonka home dla okruszków Aktualności
photo
11.03.2025

Kara dla Polskiego Radia Szczecin za brak procedur chroniących prawa bohaterów publikacji

Z powodu braku procedur chroniących prawa bohaterów publikacji i braku środków technicznych ryzyko m.in. bezpodstawnego ujawniania w materiałach prasowych bez zgody osoby zainteresowanej informacji oraz danych dotyczących prywatnej sfery życia było ogromne.

Takich informacji nie można ujawniać, jeśli dotyczą osób, które nie pełnią funkcji publicznych. Jednym z przykładów takiej sytuacji jest ta pochodząca z Radia Szczecin, w którym, w materiale prasowym z 2022 r., został opisany fakt skazania za molestowanie seksualne. Dziennikarz w materiale ujawnił, że ofiarą miał paść syn posłanki; zrobił to w taki sposób, że dziecko można było zidentyfikować. Po ujawnieniu faktu molestowania osoba ta popełniła samobójstwo. Sprawę tę badała prokuratura.

Prezes UODO Mirosław Wróblewski postanowił w tym kontekście przeprowadzić kompleksową kontrolę, która miała ustalić, czy naruszanie prywatności w Radiu Szczecin może mieć charakter systemowy. Kontrola UODO wykazała, że zaniedbań w zakresie ochrony danych osobowych jest tam wiele.

Prezes UODO przeprowadził kontrolę w Polskim Radiu Szczecin i stwierdził następujące uchybienia:

  1. Radio jako Administrator danych nie przeprowadziło analizy ryzyka dla operacji przetwarzania danych osobowych w związku z prowadzeniem działalności redakcyjnej (tworzenie i publikowanie materiałów prasowych).
  2. Nie stosowało się też do własnej dokumentacji ochrony danych osobowych.
  3. Nie wdrożyło także środków bezpieczeństwa danych gwarantujących zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania z uwagi na:
  • brak jasnych i przejrzystych zasad postępowania z materiałami prasowymi zawierającymi dane osobowe, regulujących obowiązek weryfikacji tych materiałów przed ich publikacją pod kątem zawartych w nich danych osobowych identyfikujących osoby fizyczne, których opublikowanie może naruszać przepisy prawa lub prawa i wolności osób fizycznych;
  • brak szyfrowania nośników zawierających dane osobowe używanych poza obszarem przetwarzania;

       4. Na koniec – nie wdrożyło odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo danych osobowych.

Po kontroli UODO na podstawie wydanej decyzji Polskie Radio Szczecin ma naprawić błędy organizacyjne i techniczne w ciągu 60 dni. Dodatkowo Prezes UODO nałożył na radio pieniężną karę administracyjną w wysokości 56 824 zł.

W decyzji PUODO wskazuje też, że choć wiele aspektów działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych oraz tworzeniu wypowiedzi w ramach działalności literackiej lub artystycznej nie podlega RODO, to niektóre obowiązki ciążące na administratorach na mocy RODO muszą być spełnione, by:

  • przeciwdziałać ryzyku naruszenia praw lub wolności osób fizycznych (art. 24 ust. 1 RODO),
  • zapewnić bezpieczeństwo przetwarzania danych m.in. przez pseudonimizację i szyfrowanie (art. 32 ust. 1 i 2 RODO) rozporządzenia 2016/679.

W decyzji Prezes UODO podaje także precyzyjnie, jakie działania powinien był podjąć Administrator, by nie dochodziło do naruszania praw i wolności osób wymienianych w materiałach prasowych.

Przypomina też, że Prawo prasowe stanowi m.in., że nie wolno bez zgody osoby zainteresowanej publikować informacji oraz danych dotyczących prywatnej sfery życia, chyba że wiąże się to bezpośrednio z działalnością publiczną danej osoby.

Zakaz publikacji rozciąga się zatem na wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, co wynika z definicji danych osobowych zawartej w art. 4 pkt 1 RODO.

Zgodnie z tym przepisem „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przestrzeganie zakazu publikowania danych osobowych, na gruncie przepisów o ochronie danych osobowych, rodzi po stronie administratora obowiązek wdrożenia odpowiednich środków bezpieczeństwa, gwarantujących zdolność do ciągłego zapewnienia poufności, jak również integralności, dostępności i odporności systemów i usług przetwarzania danych wykorzystywanych do prowadzenia działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych.

W toku kontroli PUODO ustalił natomiast, że weryfikacja materiałów prasowych zawierających dane osobowe, których publikacja może podlegać ograniczeniom wynikających z przepisów Prawa prasowego, nie odbywa się w Polskim Radiu Szczecin na podstawie jakiejkolwiek zasady postępowania z takimi materiałami. Procedura czy instrukcja nie została przyjęta przez Spółkę jako administratora.

Zasad w tym zakresie Administrator nie określił także w żaden inny sposób.

W ocenie PUODO brak przejrzystej procedury weryfikacji materiałów prasowych przeznaczonych do publikacji pod kątem ich zgodności z prawem oraz pod kątem tego, czy nie naruszają one praw lub wolności osób fizycznych przed ich publikacją, oznacza pełną dowolność w tym zakresie oraz brak kontroli nad tym, czy w każdym przypadku publikacja materiałów prasowych odbyła się po przeprowadzeniu weryfikacji.

Zarówno brak szyfrowania urządzeń i nośników wykorzystywanych do przetwarzania danych osobowych przekazywanych poza obszar przetwarzania, jak i brak przyjętych zasad weryfikacji materiałów prasowych przed ich publikacją pod kątem zawartych w nich danych osobowych potwierdzają, że funkcjonujące w Spółce środki bezpieczeństwa danych osobowych nie zapewniają zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania, o której mowa w art. 32 ust. 1 lit. b) RODO.

W efekcie – zauważa PUODO – dane osobowe nadal są w Polskim Radiu Szczecin zagrożone, bo jest to błąd systemowy, a nie jednostkowy, dotyczący konkretnej sytuacji. Stąd wydany przez Prezesa UODO nakaz.

Jak stwierdza prezes Mirosław Wróblewski, „nałożenie kary jest konieczne, ponieważ skala zaniechań i naruszeń przepisów w radiu była bardzo duża. Gdyby nie słaba sytuacja finansowa publicznych rozgłośni regionalnych, mogłaby ona być znacznie wyższa. Mam jednocześnie nadzieję, że kara ta będzie lekcją, że także w działalności dziennikarskiej konieczne jest odpowiednie zabezpieczanie danych osobowych osób fizycznych i troska o poszanowanie ich prywatności”.

DKN.5112.10.2024

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2025-03-11
Wprowadził informację:
user Edyta Madziar
date 2025-03-11 11:03:09
Ostatnio modyfikował:
user Edyta Madziar
date 2025-03-12 10:13:07