Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/3

Kraj:

Polska

Data wydania decyzji:

29.12.2025 r.

Podmiot kontrolowany:

Komendant Miejski Policji w Z.

Wysokość kary (EUR):

18.483

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a) i ust. 2, art. 5 ust. 1 lit. f) i ust. 2, art. 25 ust. 1 i 2, art. 32 ust. 1 i 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Podczas sporządzania komunikatu prasowego opisującego policyjną interwencję w Z., jedna z komórek Komendy Miejskiej Policji zamieściła na stronie internetowej informacje o osobie, wobec której podjęto czynności. Ujawnione dane obejmowały nie tylko imię i wizerunek (które wcześniej pojawiły się w reportażu telewizyjnym), lecz także szczegółowe informacje o stanie psychofizycznym osoby, oceny funkcjonariuszy, dane dotyczące zdrowia psychicznego, leczenia psychiatrycznego, stosowanych leków oraz podejrzeń naruszenia prawa. Dane te pobrano z policyjnego Systemu Wspomagania Dowodzenia (SWD) i wykorzystano je do celów prasowo‑informacyjnych bez analizy ryzyka, bez konsultacji z Inspektorem Ochrony Danych i bez właściwego sprawdzenia zakresu publikowanych informacji. Publikacja naruszyła zasady minimalizacji danych, poufności, rozliczalności oraz wymóg posiadania podstawy prawnej do ujawnienia danych, w tym danych szczególnej kategorii. Dodatkowo Komendant nie wdrożył i nie testował odpowiednich środków technicznych i organizacyjnych (polityk, procedur, analiz ryzyka) zapewniających bezpieczeństwo danych w obszarze działalności prasowo‑informacyjnej.

 

Opis wydarzeń

  1. Interwencja i reportaż: W 2023 r. ogólnopolska stacja telewizyjna wyemitowała reportaż z udziałem uczestniczki interwencji policyjnej. Kobieta ujawniła swoje imię i wizerunek.

  2. Publikacja komunikatu: Kilka dni później Zespół prasowy Komendy Miejskiej Policji opublikował na stronie internetowej komunikat zawierający dodatkowe informacje o przebiegu zdarzenia. Komunikat zawierał poufne dane dotyczące stanu psychofizycznego i leczenia osoby, w tym informacji o zdrowiu psychicznym, lekach i podejrzeniach naruszenia prawa. W ciągu godziny pracownicy KMP zmodyfikowali treść, lecz w zaktualizowanym komunikacie pozostawiono dane szczególnej kategorii (m.in. informacje o zdrowiu psychicznym i leczeniu), a komunikat był dostępny przez co najmniej dobę.

  3. Zgłoszenie incydentu: Zdarzenie zostało zidentyfikowane jako naruszenie ochrony danych osobowych i 3 sierpnia 2023 r. Komendant stwierdził incydent. 4 sierpnia 2023 r. zgłosił naruszenie Prezesowi UODO i poinformował osobę, której dane dotyczą, o ryzyku naruszenia jej praw i wolności.

  4. Czynności organu nadzorczego: Prezes UODO wezwał Komendanta do złożenia wyjaśnień i wszczął postępowanie administracyjne. Postępowanie obejmowało zbadanie okoliczności incydentu oraz oceny zgodności przetwarzania z RODO.

  5. Środki zaradcze: Komendant usunął komunikat ze strony internetowej, ale jego archiwalne wersje nadal pozostają dostępne w internecie. Zapowiedziano także omówienie incydentu podczas odpraw, włączenie kwestii ochrony danych do szkoleń oraz procedurę konsultacji z Inspektorem Ochrony Danych przy publikacji komunikatów. Prezes UODO uznał jednak, że dotychczasowe środki nie odpowiadają wymogom RODO.

  6. Rozstrzygnięcie: Prezes UODO stwierdził, że publikacja danych bez podstawy prawnej narusza art. 6 ust. 1, art. 9 ust. 1 oraz art. 5 ust. 1 lit. a) i art. 5 ust. 2 RODO i nałożył na Komendanta karę 40 000 zł. W drugiej części decyzji organ uznał, że Komendant nie wdrożył odpowiednich środków technicznych i organizacyjnych zgodnie z art. 24 ust. 1, art. 25 ust. 1–2 oraz art. 32 ust. 1–2 RODO, co naruszyło zasadę poufności i rozliczalności (art. 5 ust. 1 lit. f) i art. 5 ust. 2). Za to naruszenie Prezes UODO wymierzył karę 38 000 zł. Ponadto nakazał wdrożenie odpowiednich środków organizacyjnych i technicznych oraz dokonanie analizy ryzyka w ramach działalności prasowo‑informacyjnej w terminie 90 dni.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Konsultacje z IOD przy publikacjach: Każdy komunikat prasowy zawierający dane osobowe powinien być weryfikowany przez Inspektora Ochrony Danych pod kątem zgodności z RODO. W szczególności należy ocenić, czy istnieje podstawa prawna do ujawnienia danych i czy nie narusza się zasad minimalizacji oraz tajemnicy postępowania.

  2. Polityka minimalizacji danych: Komunikaty prasowe powinny zawierać wyłącznie informacje niezbędne do realizacji celu informacyjnego. Dane szczególnej kategorii (np. stan zdrowia) powinny być anonimizowane lub zastępowane ogólnikami. Należy unikać publikowania wizerunku i danych osobowych, nawet jeśli osoba już ujawniła je w mediach. Ponowne upublicznienie powinno zawsze opierać się na podstawie prawnej i ocenie ryzyka.

  3. Analiza i ocena ryzyka: Administrator powinien przeprowadzać regularne analizy ryzyka dla procesów prasowo‑informacyjnych i innych nietypowych obszarów przetwarzania. Analiza powinna identyfikować zagrożenia, szacować ich prawdopodobieństwo i skutki oraz wskazywać środki redukujące ryzyko (np. procedury autoryzacji treści, anonimizacja danych, ograniczenie dostępu do systemów źródłowych).

  4. Procedury autoryzacji i szkolenia: Wdrożenie formalnych procedur publikacji komunikatów, obejmujących wielostopniowe sprawdzenie treści (merytoryczne, prawne i ochrony danych) oraz szkolenia pracowników odpowiedzialnych za komunikację. Należy zapewnić personelowi wiedzę o RODO, w tym o przesłankach legalizujących przetwarzanie danych osobowych oraz konsekwencjach ujawniania danych szczególnej kategorii.

  5. Odpowiednie środki techniczne i organizacyjne: Dokumenty takie jak Polityka Ochrony Danych powinny być uzupełnione o procedury klasyfikacji informacji, kontrolę uprawnień i mechanizmy logowania dostępu. Należy testować i aktualizować te środki, aby zapewnić skuteczność systemu ochrony danych osobowych oraz dokumentować wyniki przeglądów.

  6. Rozdzielenie zbiorów danych: Dane z systemów operacyjnych (np. SWD Policji) przetwarzane na potrzeby postępowań powinny być oddzielone od materiałów wykorzystywanych do działań informacyjnych. Nie wolno wykorzystywać danych pozyskanych dla celów ścigania do innych celów bez wyraźnej podstawy prawnej.

  7. Monitorowanie i reakcja na incydenty: Oprócz zgłaszania naruszeń organowi nadzorczemu należy zapewnić procedurę szybkiego usuwania treści z internetowych serwisów i monitorowania kopii archiwalnych. Rejestracja incydentów i wyciąganie wniosków powinny być elementem programu zarządzania bezpieczeństwem informacji.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO