UODO nakłada karę na Radio Szczecin
Autor. Jonathan Velasquez/Unsplash
Radio Szczecin nie chroniło właściwie praw bohaterów swoich publikacji, przez co ryzyko ujawnienia danych ze sfery prywatnej było wysokie – poinformował Urząd Ochrony Danych Osobowych. Decyzja Prezesa UODO, która nakłada na rozgłośnię karę administracyjną i nakazuje naprawę błędów organizacyjnych oraz technicznych, dotyczy głośnej sprawy sprzed trzech lat.
Wydawane przez Prezesa Urzędu Ochrony Danych Osobowych decyzje najczęściej dotyczą uchybień, których dopuszczają się administratorzy danych pod kątem przestrzegania procedur, co czasami wychodzi na jaw po cyberataku. Na łamach CyberDefence24 opisywaliśmy przypadki, kiedy to kary nakładano np. z powodu wyłączenia antywirusa, błędnej opinii placówki zdrowotnej czy za zwłokę przy zgłaszaniu naruszenia. Błędy popełniają także organy publiczne, takie jak Prokuratura Krajowa.
Prezes UODO: skala naruszeń była bardzo duża
Są również historie, po których niewielu się spodziewało, że zajmie się nimi sam Urząd. Jedną z nich jest głośna sprawa z 2022 roku, gdy jedna z publikacji Radia Szczecin opisała historię skazania za molestowanie seksualne, ale wraz z informacjami pozwalającymi na identyfikację ofiary. Oprócz prokuratury, zainteresował się nią także Prezes Urzędu Ochrony Danych Osobowych, który zdecydował o przeprowadzeniu kompleksowej kontroli w rozgłośni.
Jak podał Urząd w swoim komunikacie, kontrola w Polskim Radiu Szczecin wykazała „wiele” zaniedbań w zakresie ochrony danych osobowych. Sam prezes Mirosław Wróblewski przyznał w swojej wypowiedzi, że skala naruszeń przepisów „była bardzo duża”.
O ile dokumentacja ochrony danych istniała, tak rozgłośnia nie stosowała się do niej; nie przeprowadzono również analizy ryzyka dla przetwarzania danych osobowych w związku z działalnością redakcyjną.
Brak weryfikacji materiałów i szyfrowania nośników
Prezes UODO zauważył w decyzji, że o ile wiele elementów pracy redakcyjnej nie podlega przepisom RODO, tak konieczne jest spełnienie niektórych obowiązków nakładanych na administratorów danych, m.in. przeciwdziałanie ryzyku naruszenia praw lub wolności osób fizycznych.
„Weryfikacja materiałów prasowych zawierających dane osobowe, których publikacja może podlegać ograniczeniom wynikających z przepisów Prawa prasowego, nie odbywa się w Polskim Radiu Szczecin na podstawie jakiejkolwiek zasady postępowania z takimi materiałami” – czytamy w komunikacie opublikowanym przez Urząd.
Co ciekawe, Prezes UODO wskazał także na fakt braku szyfrowania nośników, które są wynoszone poza obszar przetwarzania danych, a które to są w tymże procesie wykorzystywane. W połączeniu z brakiem zasad weryfikacji materiałów przed publikacją, oceniono, że środki bezpieczeństwa danych „nie zapewniają zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów”.
„Dane nadal są zagrożone”. Kara ma być lekcją
Efektem ustaleń Prezesa UODO jest wydana decyzja. Na Polskie Radio Szczecin została nałożona kara administracyjna w wysokości 56 824 zł. „Gdyby nie kiepska sytuacja finansowa publicznych rozgłośni regionalnych mogłaby ona być znacznie wyższa” – powiedział Mirosław Wróblewski, dodając, że ma nadzieję na uznanie tej kary za „lekcję” w zakresie zabezpieczenia danych osobowych.
Rozgłośnia ma również naprawić błędy organizacyjne i techniczne w ciągu 60 dni od publikacji decyzji. „Dane osobowe nadal są w Polskim Radiu Szczecin zagrożone, bo jest to błąd systemowy, a nie jednostkowy błąd dotyczący konkretnej sytuacji” – uzasadnia drugi element PUODO.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
Sztuczna inteligencja w Twoim banku. Gdzie ją spotkasz?
Materiał sponsorowany