Kara po kontroli w Polskim Radiu Szczecin
Prezes Urzędu Ochrony Danych Osobowych nałożył na Polskie Radio – Regionalną Rozgłośnię w Szczecinie „PR Szczecin” SA w likwidacji – administracyjną karę ponad 56 tys. zł (decyzja o sygn. DKN.5112.10.2024.
Kara została nałożona za brak odpowiedniego poziomu bezpieczeństwa danych, które powinno być oparte na analizie ryzyka wiążącego się z ich przetwarzaniem, oraz za niedostateczną kontrolę skuteczności zabezpieczeń. Stosowane środki techniczne i organizacyjne były niewystarczające, a ich skuteczność nie była oceniana. Nakazano również dostosowanie operacji przetwarzania do przepisów RODO w terminie 60 dni od dnia doręczenia decyzji administracyjnej.
Chodzi o materiał dziennikarski z 2022 r., w którym przedstawiono sprawę pedofila w taki sposób, że łatwo można było ustalić personalia niepełnoletniej ofiary. Skończyło się to jej samobójstwem.
Była to pierwsza kontrola w środkach masowego przekazu, do których, z uwagi na wyłączenie ustawowe, szereg przepisów RODO nie ma zastosowania. Wyłączenie to dotyczy głównie przepisów regulujących zarówno zasady i podstawy prawne przetwarzania danych osobowych, jak i obowiązki informacyjne wobec osób, których dane są przetwarzane. Nie obejmuje ono natomiast obowiązków administratora nałożonych m.in. art. 24, 29, 32 i 35 RODO, dotyczących wdrożenia polityk i procedur oraz środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych odpowiednie do ryzyka wiążącego się z ich przetwarzaniem.
Ustawodawca wprowadzając do działalności dziennikarskiej odstępstwa od stosowania wymogów RODO, nie bez powodu pozostawił obowiązek wdrożenia środków mających zapewnić stopień bezpieczeństwa przetwarzanych danych odpowiedni do ryzyka naruszenia praw lub wolności osób fizycznych.
Zapewnienie zgodnego z prawem i bezpiecznego przetwarzania danych osobowych bohaterów materiałów medialnych jest warunkiem koniecznym do zachowania właściwej równowagi pomiędzy prawem jednostki do ochrony danych osobowych a wolnością wypowiedzi i prawem do informacji. Wymóg zachowania równowagi między ochroną danych osobowych a wolnością wypowiedzi spoczywa na każdym podmiocie medialnym.
W wyniku przeprowadzonych czynności kontrolnych stwierdzono, że Radio Szczecin dopuściło się naruszenia przepisów RODO polegających na:
1) nieprzeprowadzeniu analizy ryzyka dla operacji przetwarzania danych osobowych w związku z prowadzeniem działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych;
2) niestosowaniu się do postanowień „Polityki bezpieczeństwa danych osobowych w Polskim Radiu Szczecin SA” oraz „Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w Polskim Radiu Szczecin SA”;
3) niewdrożeniu środków bezpieczeństwa danych gwarantujących zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania z uwagi na:
a) brak jasnych i przejrzystych zasad postępowania z materiałami prasowymi zawierającymi dane osobowe, regulujących obowiązek weryfikacji tych materiałów przed ich publikacją pod kątem zawartych w nich danych osobowych identyfikujących osoby fizyczne, których opublikowanie może naruszać przepisy prawa lub prawa i wolności osób fizycznych;
b) brak szyfrowania nośników zawierających dane osobowe używanych poza obszarem przetwarzania;
4) niewdrożeniu odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych.
Treść decyzji Prezesa UODO oraz inne orzeczenia można znaleźć na stronie https://orzeczenia.uodo.gov.pl/
