Podstawa prawna naruszenia

Art. 6 ust. 1, art. 9 ust. 1 RODO.

Niewystarczająca podstawa prawna przetwarzania danych.

Przyczyna naruszenia

Podczas konferencji prasowej zorganizowanej przez Komendanta Głównego Policji doszło do nieuprawnionego ujawnienia danych osobowych Skarżącej. Ujawnione informacje obejmowały m.in. dane dotyczące stanu zdrowia fizycznego i psychicznego, leczenia, miejsca zamieszkania, rodzaju zabudowy i tytułu prawnego do lokalu, a także dane dotyczące życia prywatnego Skarżącej, w tym faktu rozpadu jej związku.

Opis wydarzeń

1. Zgłoszenie interwencji medycznej: Zdarzenie rozpoczęło się od zgłoszenia telefonicznego lekarza Skarżącej na numer alarmowy 112, informującego o jej stanie psychofizycznym mogącym stanowić zagrożenie dla życia lub zdrowia. Policja podjęła interwencję w miejscu zamieszkania oraz w szpitalach, gdzie przebywała Skarżąca.
2. Uzyskanie i przetwarzanie danych przez Policję: Dane osobowe, w tym szczególne kategorie danych (np. dotyczące zdrowia), zostały zarejestrowane i przetwarzane przez system SWD Policji oraz uzyskane przez zespół kontrolerów Komendy Głównej Policji, działających na polecenie Komendanta.
3. Konferencja prasowa Komendanta Głównego Policji: W odpowiedzi na zarzuty medialne dotyczące rzekomych nadużyć Policji wobec Skarżącej, Komendant zorganizował konferencję prasową. W jej trakcie odtworzono fragmenty nagrań rozmów z numerem alarmowym oraz dyżurnym Policji, a także przedstawiono transkrypcje i komentarze do działań funkcjonariuszy.
4. Ujawnienie danych osobowych: Mimo częściowej anonimizacji nagrań, ujawniono dane umożliwiające identyfikację Skarżącej, takie jak: informacje o leczeniu i stanie zdrowia, stan emocjonalny, miejsce zamieszkania, rodzaj budynku i tytuł prawny do lokalu, a także wzmianki dotyczące życia prywatnego.
5. Publiczna dostępność nagrania: Konferencja była transmitowana przez ogólnopolskie media i publikowana w Internecie. Treść konferencji oraz odtworzone nagrania stały się szeroko dostępne, co doprowadziło do nieuprawnionego rozpowszechnienia danych osobowych Skarżącej w przestrzeni publicznej.
6. Postępowanie Prezesa UODO: Po analizie sprawy Prezes UODO uznał, że doszło do naruszenia przepisów art. 6 ust. 1 oraz art. 9 ust. 1 RODO, ponieważ dane osobowe zostały udostępnione publicznie bez podstawy prawnej i w zakresie wykraczającym poza cel działania Policji. W związku z powyższym nałożono na Komendanta Głównego Policji karę w wysokości 75.000 PLN.

Źródło

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy:

1. Zapewnienie pełnej zgodności z RODO przy publicznych wypowiedziach: Należy każdorazowo weryfikować, czy przekazywane informacje nie naruszają przepisów o ochronie danych osobowych, zwłaszcza gdy dotyczą szczególnych kategorii danych (np. zdrowotnych, seksualnych, dotyczących życia prywatnego).
2. Ograniczenie zakresu publicznie udostępnianych informacji: Podczas wystąpień publicznych i kontaktów z mediami zaleca się przekazywanie jedynie informacji niepozwalających na identyfikację osoby fizycznej, stosując zasadę minimalizacji danych.
3. Wdrożenie procedur kontroli treści przed publikacją: Wskazane jest stworzenie wewnętrznych mechanizmów weryfikacji treści przeznaczonych do udostępnienia publicznego, w celu wychwycenia potencjalnych naruszeń ochrony danych.
4. Szkolenia dla personelu kierowniczego i rzeczników prasowych: Rekomenduje się cykliczne szkolenia z zakresu ochrony danych osobowych i komunikacji z mediami, ze szczególnym uwzględnieniem zasad legalności, proporcjonalności oraz integralności danych.
5. Unikanie interpretowania działalności informacyjnej jako dziennikarskiej: Organ władzy publicznej nie może powoływać się na przywileje prasy – publikacje konferencyjne nie są materiałami prasowymi w rozumieniu Prawa prasowego i nie podlegają wyłączeniu z przepisów RODO.

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu