Prezes UODO do rozgłośni radiowych: odpowiadacie za dane osobowe bohaterów Waszych materiałów

Publiczne rozgłośnie radiowe mają obowiązek tworzyć procedury gwarantujące bezpieczeństwo danych osób, które pojawiają się w materiałach prasowych. Mają obowiązek robić analizy ryzyka dla danych.

Pismo tej treści Prezes UODO Mirosław Wróblewski wysłał do szefów wszystkich spółek radiofonii publicznej.

Powstało ono po kontroli w Radiu Szczecin. Jak wiadomo, w materiale dziennikarskim tego radia z 2021 r. ujawniono informacje pozwalające zidentyfikować ofiarę pedofila – osobę nieletnią. W efekcie osoba ta popełniła samobójstwo.

Jak stwierdził Prezes UODO po postępowaniu, w Radiu Szczecin nie było procedur pozwalających wykryć i powstrzymać taką publikację. W takich przypadkach nie chodzi bowiem o ściganie winnych, ale o niedopuszczenie do ludzkiej krzywdy. Nie da się jej bowiem naprawić po fakcie, co sprawa szczecińska wszystkim w sposób dramatyczny uświadamia.

Co prawda przy tworzeniu materiałów prasowych nie stosuje się niektórych przepisów RODO, co wynika z ustawy o ochronie danych osobowych. Zastosowanie ma przede wszystkim Prawo prasowe. Nie znaczy to jednak, że dziennikarze nie mają obowiązku chronić praw osób, których dane przetwarzają. Przeciwnie, są do tego zobowiązani zarówno na podstawie przepisów Prawa prasowego, jak i pozostałych przepisów rozporządzenia 2016/679 (RODO), które mają zastosowanie w tej dziedzinie.

Dlatego Prezes UODO przypomina rozgłośniom o obowiązku wynikającym z art. 24ust. 1 RODO. Przepis ten nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby tym samym zapewnić przetwarzanie danych zgodnie z tym rozporządzeniem, a ust. 2 tego przepisu zobowiązuje administratora do przyjęcia odpowiednich polityk ochrony danych.

Do podstaw prawnej ochrony danych osobowych wprowadzonej przez RODO należy obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 tego aktu prawnego. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. RODO wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Innymi słowy, w świetle przepisów RODO obowiązkiem administratora jest wdrożenie odpowiednich środków technicznych i organizacyjnych w postaci np. polityk i procedur (instrukcji), a także realizacja ich postanowień. Dokumentacja taka powinna odnosić się do ochrony danych osobowych i regulować m.in. obowiązki pracowników przy przetwarzaniu danych osobowych, podstawowe zasady ochrony danych, metody zabezpieczenia danych, czy obowiązek zachowania tajemnicy.

Wyrazem realizacji przez administratora wdrożonych polityk i procedur jest przeprowadzenie analizy ryzyka dla procesów przetwarzania danych. Robiąc taką analizę należy wziąć pod uwagę w szczególności charakterystykę zachodzących procesów, aktywa, podatności, zagrożenia oraz istniejące zabezpieczenia, w ramach zachodzących procesów przetwarzania danych osobowych. Nie można również w trakcie tego procesu pominąć zakresu oraz charakteru danych osobowych przetwarzanych w toku czynności realizowanych przez administratora danych, albowiem w  zależności właśnie od zakresu oraz charakteru ujawnionych danych zależeć będą potencjalne negatywne skutki dla osoby fizycznej w przypadku wystąpienia naruszenia ochrony jej danych osobowych. Należy przy tym mieć na uwadze, że szeroki zakres danych osobowych lub przetwarzanie danych osobowych, o których mowa w art. 9 ust. 1 lub art. 10 RODO, może spowodować (w przypadku wystąpienia naruszenia ochrony danych osobowych) daleko idące negatywne skutki dla osób, których dane dotyczą, co za tym idzie stopień ich ochrony powinien być odpowiednio wysoki.

Niezwykle istotnie jest, by weryfikacja materiałów prasowych, w tym materiałów prasowych zawierających dane osobowe, których publikacja może podlegać ograniczeniom wynikającym z przepisów Prawa prasowego, odbywała się w oparciu o przejrzyste procedury postępowania z takimi.

Weryfikacja taka powinna być przeprowadzana pod kątem zgodności takiej publikacji z prawem oraz pod kątem tego, czy nie naruszy to praw lub wolności osób fizycznych. Zatem nie powinna ona opierać się wyłącznie na strukturze organizacyjnej pionu redakcyjnego i podległości służbowej pracujących w danej redakcji dziennikarzy (redaktorów).

Na administratorze danych spoczywa ponadto obowiązek weryfikowania przestrzegania wdrożonych procedur, a w razie potrzeby poddawania ich przeglądom i uaktualnieniom. Określenie stosowanych zabezpieczeń jest konieczne, między innymi w tym celu, aby ich nie powielać.

DKN.5101.147.2025