Rozgłośnie publiczne muszą zadbać o zgodne z prawem przetwarzanie danych

W związku ze sprawą Polskiego Radia Szczecin, ukaranego za brak standardów w przetwarzaniu danych, Prezes UODO przypomina Polskiemu Radiu zasady ochrony danych osobowych i prosi o kompleksowe zajęcie się tym tematem.

„Proszę o zwrócenie uwagi likwidatorom spółek radiofonii regionalnej Polskiego Radia, że łamanie prawa o ochronie danych osobowych nie tylko narusza prawa i wolności, ale tworzy zagrożenie dla zdrowia i życia” – pisze prezes UODO Mirosław Wróblewski do likwidatora Polskiego Radia, Pawła Majchera.

Prezes UODO przypomina, że po ujawnieniu danych dziecka, które potem popełniło samobójstwo, przeprowadził kontrolę w Polskim Radiu Szczecin. Okazało się, że rozgłośnia ta nie dochowała standardów dotyczących ochrony danych osobowych. W efekcie PUODO nałożył na nią administracyjną karę finansową.

Więcej o tej sprawie: Kara dla Polskiego Radia Szczecin za brak procedur chroniących prawa bohaterów publikacji

Ze względu na szczególne zadania i powinności publicznej radiofonii i telewizji, a także fakt, że ich realizacja nierozerwalnie powiązana jest z przetwarzaniem danych osobowych, PUODO przypomina, że choć na podstawie art. 2 ust. 1 ustawy o ochronie danych osobowych, do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy Prawo prasowe, a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art. 5-9, art. 11, art. 13-16, art. 18-22, art. 27, art. 28 ust. 2-10 oraz art. 30 RODO, to nie znaczy to, że dziennikarze nie muszą chronić praw osób, których dane przetwarzają. Przeciwnie. W świetle RODO obowiązkiem administratora (szefa rozgłośni) jest wdrożenie odpowiednich środków technicznych i organizacyjnych w postaci np. polityk i procedur (instrukcji), a także realizacja ich postanowień. Dokumentacja taka powinna się odnosić do ochrony danych osobowych i regulować m.in. obowiązki pracowników przy przetwarzaniu danych osobowych, podstawowe zasady ochrony danych, metody zabezpieczenia danych czy obowiązek zachowania tajemnicy.

Dowodem realizacji przez administratora wdrożonych polityk i procedur jest analiza ryzyka dla procesów przetwarzania danych. Przeprowadzając taką analizę, należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również pominąć zakresu oraz charakteru danych osobowych, które przetwarza dziennikarz. Bo od tego zależą potencjalne negatywne skutki dla ludzi, których te dane dotyczą.

Z tego powodu niezwykle istotne jest, by weryfikacja materiałów prasowych, w tym materiałów zawierających dane osobowe, których publikacja może podlegać ograniczeniom wynikającym z przepisów Prawa prasowego, odbywała się na podstawie przejrzystych procedur postępowania z takimi materiałami (regulujących m.in. kwestie, takie jak wskazanie osoby czy osób odpowiedzialnych za przestrzeganie zakazu publikowania danych, sposobu dokumentowania i weryfikacji zgody na publikowanie danych, sposobu anonimizacji danych). Poprzez wdrożenie powyższych procedur administrator będzie sprawował nadzór nad przetwarzanymi danymi, a także zapewni środki prewencyjne przed nieuprawnionym ich ujawnieniem. Administrator bowiem ma za zadanie zapobiec sytuacji, gdy chociażby przez wskazanie cech (niekoniecznie imienia i nazwiska) dochodzi do identyfikacji osoby pokrzywdzonej. Brak ochrony ofiar przestępstwa może prowadzić do wtórnej wiktymizacji, a nawet stanowić zagrożenia dla ich zdrowia lub życia.

DKN.5101.42.2025