Policja ujawniła dane medyczne kobiety po aborcji. Kara dla krakowskiego komendanta

Jak czytamy w komunikacie na stronie UODO, sankcja dotyczyła ujawnienia w komunikacie prasowym danych osobowych kobiety, wobec której Policja w 2023 r. podejmowała czynności związane z próbą ustalenia osób pomagających jej w dokonaniu aborcji, a także braku należytego nadzoru nad procesami przetwarzania danych.

Komunikat Policji, wydany po nagłośnieniu sprawy przez media, zawierał informacje umożliwiające identyfikację kobiety oraz dane szczególnej kategorii, w tym dotyczące jej zdrowia fizycznego i psychicznego.

Dane szczególnej kategorii ujawnione bez podstawy

Prezes UODO ustalił, że choć kobieta wcześniej sama ujawniła swoje imię i wizerunek w reportażu telewizyjnym, to komunikat prasowy Policji zawierał znacznie szerszy zakres informacji.

Obejmowały one m.in. dane o stanie zdrowia, leczeniu psychiatrycznym, zażywanych środkach medycznych, zdrowiu reprodukcyjnym, a także oceny funkcjonariuszy dotyczące jej zachowania i stanu psychofizycznego.

Nawet po modyfikacji komunikatu, dokonanej około godziny po publikacji, nadal pozostawały w nim dane wrażliwe, których ujawnienie nie było niezbędne do realizacji ustawowych zadań Policji.

Zgłoszenie incydentu i dalsze postępowanie

O naruszeniu ochrony danych osobowych Komendant Miejski Policji dowiedział się od pełnomocniczki reprezentującej kobietę.

Następnie, działając jako administrator danych, zawiadomił Prezesa UODO o incydencie, wskazując na jego niezamierzony charakter i przyczynę w postaci pośpiechu oraz nieuwagi pracowników.

Dane wykorzystane w komunikacie pochodziły z Systemu Wspomagania Dowodzenia Policji (SWD). Komendant przyznał, że naruszenie mogło powodować wysokie ryzyko dla praw lub wolności osoby fizycznej, usunął komunikat ze strony internetowej oraz poinformował osobę, której dane dotyczyły.

Brak analizy ryzyka i nieskuteczne środki ochrony

W toku postępowania Prezes UODO wykazał, że Zespół Prasowo-Informacyjny Komendanta przetwarzał dane osobowe bez wcześniejszego uwzględnienia ryzyka dla praw lub wolności osób.

Stosowane środki techniczne i organizacyjne nie były regularnie testowane ani oceniane pod kątem skuteczności, co doprowadziło do ich nieskuteczności.

Organ nadzorczy podkreślił, że nie można uznać incydentu wyłącznie za niezamierzony. Dane pozyskane w ramach SWD w określonym ustawowo celu zostały bowiem wykorzystane wtórnie, w komunikacie prasowym, do zupełnie innego celu, co narusza podstawowe zasady przetwarzania danych wynikające z RODO.

Ujawnienie nadmiarowych informacji jako istota naruszenia

Według Prezesa UODO, kluczowe znaczenie miało sięgnięcie przez Komendanta do wewnętrznych zasobów informacyjnych i upublicznienie danych, które wcześniej nie funkcjonowały w przestrzeni publicznej.

Ich ujawnienie nie było niezbędne do realizacji zadań Policji ani do komunikowania się z opinią publiczną.

To właśnie wykorzystanie i publikacja nadmiarowych, szczególnie wrażliwych informacji o możliwej do zidentyfikowania osobie fizycznej, doprowadziły do naruszenia ochrony danych osobowych i naraziły ją na potencjalne zagrożenie dla bezpieczeństwa oraz prawa do prywatności.

Wnioski dla administratorów danych

Prezes UODO wskazał, że do incydentu mogłoby nie dojść, gdyby administrator przeprowadził rzetelną analizę ryzyka, zidentyfikował zagrożenia i wdrożył adekwatne środki techniczne i organizacyjne.

Sprawa stanowi istotne ostrzeżenie dla organów publicznych, w tym Policji, że prawo do pozyskiwania danych w toku postępowań nie oznacza dowolności w ich dalszym wykorzystywaniu i ujawnianiu.