EdukacjaZastępcy Prezesa

Wnioski Prezesa UODO z Konferencji „Dane osobowe na antenie – standardy i granice ochrony prywatności w mediach”.

Przyczynkiem zorganizowania konferencji były liczne interwencje Prezesa UODO w sprawie groźnych incydentów dotyczących ujawnienia przez media danych osobowych, w szczególności tych dotyczących osób małoletnich.

O tym, jak ważny jest to temat wspomniała profesor Agnieszka Grzelak.

-Działalność dziennikarska korzysta z pewnych odstępstw przewidzianych w przepisach. Nie zwalnia to jednak redakcji, jako administratorów danych w rozumieniu RODO, z obowiązku dobierania odpowiednich środków technicznych i organizacyjnych, tworzenia procedur wewnętrznych czy szkolenia osób, tak aby działać również zgodnie z RODO. Jest to podstawowy warunek, aby wrażliwe informacje o dzieciach, ofiarach, świadkach i sygnalistach nie były ujawniane czy też nie trafiały do osób nieuprawnionych – wskazała Zastępczyni Prezesa UODO w wystąpieniu otwierającym konferencję.

Kluczowe wątki i spostrzeżenia, które wybrzmiały podczas dyskusji

Relacja między misją mediów a ochroną prywatności nie polega na wyborze „albo–albo”, lecz na konieczności stałego ważenia interesu publicznego z prawami jednostki. RODO (zwłaszcza art. 85 i 86) zakłada współistnienie wolności wypowiedzi i prawa do prywatności. Problemem nie jest samo prawo, lecz brak umiejętności oraz właściwych procedur jego stosowania w praktyce dziennikarskiej.

-Nie chodzi o ograniczanie działalności mediów, ale o świadome korzystanie z danych osobowych. – podkreśliła Agnieszka Grzelak.

Dziennikarze często błędnie zakładają, iż RODO ich nie dotyczy, podczas gdy działalność prasowa nie jest całkowicie wyłączona spod zasad ochrony danych osobowych. Szczególnie problematyczne jest wąskie lub nieprawidłowe rozumienie pojęcia „dane osobowe”, sprowadzane jedynie do imienia i nazwiska, mimo że identyfikacja może następować również poprzez kontekst, głos czy wizerunek.

Osoby wymagające szczególnej ochrony

Należy wyraźnie rozróżnić ciekawość opinii publicznej od rzeczywistego interesu publicznego i podkreślić, że ten drugi nie może usprawiedliwiać ingerencji w sferę prywatną osób niepełniących funkcji publicznych. Szczególnej ochrony wymagają dzieci, ofiary przestępstw, świadkowie oraz osoby słabsze — w ich przypadku interes publiczny częściej przemawia za anonimizacją niż za ujawnieniem tożsamości. Inicjały, pozorna pseudonimizacja czy częściowe zasłanianie wizerunku nie zawsze chronią  prywatności, ponieważ nie eliminują realnej możliwości identyfikacji osoby. Obecne praktyki ochrony danych osobowych, wizerunku i głosu są niespójne, często pozorne i niewystarczające wobec realiów technologicznych oraz społecznych.

-Urząd Ochrony Danych Osobowych podkreśla konieczność dobrania adekwatnych środków bezpieczeństwa do ryzyka, jakie występuje w mediach. Z uwagi na częste przetwarzanie danych osób pokrzywdzonych czy nieletnich, ryzyko to jest podwyższone – wskazała Agnieszka Grzelak.

Archiwa redakcyjne

Archiwa redakcyjne są jednocześnie istotną wartością dziennikarską i obszarem największych napięć z RODO, zwłaszcza w kontekście prawa do bycia zapomnianym, anonimizacji starszych materiałów oraz długiego okresu przechowywania treści, które po latach mogą ponownie nabrać aktualności. Prawo do bycia zapomnianym to ważny, lecz problematyczny element relacji między ochroną danych a misją mediów, a nie tylko proste uprawnienie do usuwania treści. Jak więc powinno ono funkcjonować w odniesieniu do materiałów prasowych — zarówno archiwalnych publikacji, jak i materiałów roboczych oraz źródłowych gromadzonych przez dziennikarzy? Warto też zwrócić uwagę na rozróżnienie przechowywania materiałów w archiwach gazety od udostępniania materiałów archiwalnych na stronie internetowej, czy umożliwienie odnalezienia materiału archiwalnego poprzez wyszukiwarkę internetową (zob. wyrok TSUE C 136/17). Są to sytuacje wymagające odmiennego podejścia i nie mogą być oceniane jednolicie.

Analiza ryzyka

Paneliści zgodnie wskazali, że na przeprowadzanie analizy ryzyka mogą sobie pozwolić głównie duże ośrodki medialne, podczas gdy w mniejszych redakcjach często się jej nie stosuje, co ponownie odsyła do problemu kultury zarządzania w środowisku dziennikarskim.

Jako organ nadzorczy chcemy nie tylko zwrócić uwagę na przepisy, ale także stworzyć Państwu przestrzeń do rozmowy o tym, jak te przepisy zastosować w realnej pracy redakcji: przy krótkich terminach, przy pracy w terenie, przy współpracy z podmiotami zewnętrznymi i przy presji towarzyszącej szybkim publikacjom – mówiła Zastępczyni Prezesa UODO.

Przechowywanie nagrań

Ochrona danych w mediach nie kończy się na publikacji materiału, lecz obejmuje również zaplecze techniczne, przechowywanie nagrań, dostęp do plików i procedury redakcyjne. Media przetwarzają dziś dane osobowe na wielu nośnikach — od laptopów i serwerów, przez kamery, dyktafony i karty pamięci, po archiwa cyfrowe — a największym ryzykiem pozostaje nie sama technologia, lecz czynnik ludzki, brak standardów oraz chaos organizacyjny. Istnieje rozdźwięk między modelami pracy: redakcje publiczne i duże organizacje dążą do pełnej kontroli sprzętu i infrastruktury, podczas gdy freelancerzy preferują korzystanie z własnych urządzeń, co wymaga jasnych zasad bezpiecznego przekazywania materiałów. Barierą nie jest technologia, lecz koszty, brak decyzji i brak konsekwencji we wdrażaniu procedur. Wybrzmiał również problem technicznej trudności usuwania lub anonimizowania danych z materiałów audio, wideo i fotograficznych.

Skuteczność

Skuteczna ochrona danych w mediach musi opierać się na połączeniu prawa, technologii i praktyki redakcyjnej — jasnych procedurach, cyklicznej analizie ryzyka, rozliczalności za nośniki, szkoleniach oraz realnym egzekwowaniu zasad ochrony danych osobowych. Ważna jest świadomość, że rozwój technologii, w tym narzędzi opartych na sztucznej inteligencji, wyprzedził zarówno prawo, jak i standardy redakcyjne. AI stanowi jednocześnie obszar ryzyka i szansy: może wspierać archiwizację, anonimizację i analizę ryzyka, ale udostępnianie materiałów redakcyjnych modelom AI rodzi pytania o nowe cele przetwarzania, odpowiedzialność oraz ochronę danych osobowych. Bez świadomych decyzji organizacyjnych, inwestycji w jakość i odejścia od myślenia wyłącznie „pod klikalność” nawet najlepsze prawo i narzędzia nie zapewnią realnego bezpieczeństwa danych w mediach.

Podsumowanie

Konferencja pokazała, że kwestie archiwów, retencji danych i aktualizacji materiałów pozostają jednymi z najbardziej problematycznych i niedoregulowanych obszarów. Eksperci byli zgodni, że poważnym problemem jest brak jednolitych standardów w środowisku medialnym. Najważniejszym wnioskiem systemowym była potrzeba stworzenia wspólnego, branżowego kodeksu postępowania dla mediów. Taki oddolnie wypracowany wzorzec — tworzony z udziałem praktyków i oparty na obowiązujących przepisach, w tym RODO i Prawie prasowym — może realnie uporządkować praktykę, zmniejszyć niepewność decyzyjną i zapewnić spójność działań między redakcjami.

Kodeksy postępowania są narzędziem sprawdzonym, a ich zatwierdzenie przez organ nadzorczy daje dodatkowe poczucie bezpieczeństwa prawnego oraz może dostarczyć odpowiedzi na konkretne pytania, dotyczące m.in. pracy z nośnikami danych, archiwami czy materiałami freelancerskimi. Istotnym wyzwaniem pozostaje wypracowanie takich standardów na poziomie całej Unii Europejskiej, co wynika z odmiennych podejść państw członkowskich do autonomii mediów oraz relacji między wolnością prasy a stosowaniem RODO.

-Chcielibyśmy, aby efektem tej konferencji było wypracowanie wspólnych, praktycznych standardów – takich, które będzie można wykorzystać niezależnie od wielkości redakcji: od dużej telewizji, przez radio regionalne, po portal lokalny – zwróciła uwagę Agnieszka Grzelak.

Zróżnicowane regulacje i orzecznictwo, międzynarodowy charakter wielu grup medialnych oraz ograniczony dorobek decyzji organów nadzorczych i sądów w sprawach dziennikarskich dodatkowo komplikują to zadanie. Większa liczba rozstrzygnięć odnoszących się bezpośrednio do praktyki medialnej mogłaby przyczynić się do ujednolicenia interpretacji przepisów  i stworzenia jasnych procedur działania w redakcjach.

Ogólną konkluzją konferencji było przekonanie, że bez wspólnych standardów, odpowiedniej kultury zarządzania informacją i refleksji etycznej media będą nadal balansować między pozorną ochroną danych a ryzykiem naruszeń, tracąc wiarygodność i zaufanie odbiorców. Celem regulacji nie jest ograniczanie wolności słowa, lecz ochrona osób przed realnymi skutkami ujawnienia danych.

Wyzwania branży medialnej

  • Brak jednolitych, branżowych standardów stosowania RODO w działalności dziennikarskiej.
  • Błędne przekonanie o „wyłączeniu” dziennikarzy spod przepisów o ochronie danych osobowych.
  • Niewłaściwe rozumienie pojęcia danych osobowych i ryzyka identyfikacji kontekstowej.
  • Pozorna anonimizacja i pseudonimizacja nieskuteczna w realiach lokalnych i cyfrowych.
  • Napięcia wokół archiwów redakcyjnych, retencji danych i prawa do bycia zapomnianym.
  • Brak procedur aktualizacji, anonimizacji lub ponownej oceny starszych materiałów.
  • Ograniczony dostęp do analizy ryzyka w małych i średnich redakcjach.
  • Chaos organizacyjny w zakresie nośników, sprzętu i dostępu do materiałów.
  • Rozbieżne modele pracy redakcji i freelancerów bez jasnych zasad bezpieczeństwa.
  • Trudności techniczne w anonimizacji materiałów audio, wideo i fotograficznych.
  • Niski poziom kultury zarządzania informacją i odpowiedzialności za dane.
  • Dynamiczny rozwój AI bez odpowiadających mu standardów redakcyjnych i prawnych.

Rekomendacje i kierunki działań

Praktyczne wnioski i propozycje rozwiązań dla branży, oparte na obserwacjach i zidentyfikowanych wyzwaniach. Kluczowym kierunkiem działań powinno być wypracowanie i wdrożenie branżowych kodeksów postępowania dla mediów, opartych na RODO, Prawie prasowym, orzecznictwie sądów krajowych i europejskich oraz standardach etycznych dziennikarstwa. Kodeksy te powinny precyzyjnie regulować m.in. pracę z danymi osobowymi, w tym wizerunkiem i głosem, zasady anonimizacji, zarządzanie archiwami, retencję danych oraz współpracę z freelancerami. Ich zatwierdzenie przez organ nadzorczy zwiększyłoby bezpieczeństwo prawne redakcji i ujednoliciło praktykę.

Rekomenduje się wprowadzenie prostych, odpowiednich procedur analizy ryzyka możliwych do stosowania także w małych redakcjach oraz cykliczne szkolenia praktyczne dla dziennikarzy i redaktorów. Niezbędne jest uporządkowanie zaplecza technicznego: ewidencja nośników, jasne zasady dostępu do materiałów, standardy przechowywania i bezpiecznego przekazywania danych. Branża powinna rozwinąć standardy dotyczące archiwów redakcyjnych, w tym kryteria anonimizacji i aktualizacji starszych publikacji oraz rozróżnienie między materiałami opublikowanymi, archiwalnymi i roboczymi. Ważne jest także wskazanie umiejscowienia tych materiałów. Miejscem archiwizacji dokumentacji zawierającej dane osobowe z założenia nie powinien być internet, z uwagi na prawo do bycia zapomnianym i poszanowanie innych praw podstawowych oraz przepisów krajowych. W obszarze AI konieczne są jasne decyzje organizacyjne: określenie dopuszczalnych celów przetwarzania, zasad korzystania z narzędzi oraz zabezpieczeń przed wtórnym użyciem danych.

Długofalowo rekomendowane jest dążenie do ujednolicania standardów na poziomie europejskim, wymiana dobrych praktyk między redakcjami oraz aktywne budowanie kultury odpowiedzialności,  w której ochrona danych osobowych jest integralnym elementem jakości dziennikarstwa, a nie wyłącznie obowiązkiem formalnym.

Ustanowienie standardów, które pomogą odpowiedzieć na proste pytania:

  • Kiedy na pewno trzeba anonimizować?
  • Co zrobić z nagraniem z udziałem dziecka?
  • Jak opisać miejsce, żeby nie ujawnić tożsamości?
  • Jak długo przechowywać materiał, do którego dostęp miał podwykonawca?

To są pytania, z którymi Państwo przychodzą do nas na co dzień – dziś mamy okazję odpowiedzieć na nie razem – podsumowała Zastępczyni Prezesa Urzędu Ochrony Danych Osobowych.