Policja ukarana za komunikat prasowy
Prezes Urzędu Ochrony Danych Osobowych nałożył łącznie 78 tys. zł kary na Komendanta Miejskiego Policji w Krakowie. Powodem było ujawnienie w komunikacie prasowym danych osobowych kobiety, wobec której policja podejmowała czynności w związku z podejrzeniem aborcji, oraz brak właściwego nadzoru nad procesami przetwarzania danych.
Kluczowe jest to, że nie chodziło o klasyczny wyciek danych do sieci ani o włamanie do systemu. Dane zostały ujawnione w oficjalnym komunikacie Policji, który miał być odpowiedzią na reportaż medialny. Problem polegał na tym, że komunikat zawierał informacje wykraczające daleko poza to, co było niezbędne do zajęcia stanowiska w sprawie.
Dane szczególnej kategorii w przestrzeni publicznej
W komunikacie znalazły się informacje pozwalające na identyfikację konkretnej osoby oraz dane szczególnej kategorii, w tym dotyczące zdrowia psychicznego, leczenia psychiatrycznego, przyjmowanych leków, zdrowia reprodukcyjnego, a także ocen funkcjonariuszy co do jej zachowania i stanu psychofizycznego. Były to dane pozyskane z policyjnych systemów operacyjnych i pierwotnie przetwarzane w zupełnie innym celu – na potrzeby czynności służbowych.
Fakt, że kobieta wcześniej ujawniła swoje imię i wizerunek w mediach, nie dawał Policji zielonego światła do publikowania kolejnych, znacznie bardziej wrażliwych informacji. Prezes UODO wyraźnie podkreślił, że możliwość legalnego pozyskania danych w toku postępowania nie oznacza prawa do ich dowolnego ujawniania w komunikatach prasowych.
"Pośpiech i nieuwaga" to za mało
Komendant Miejski Policji zgłosił incydent do UODO i wskazywał, że doszło do niego w wyniku pośpiechu i nieuwagi pracowników. Taka argumentacja nie przekonała jednak organu nadzorczego. W postępowaniu wykazano, że zespół odpowiedzialny za komunikację z mediami nie przeprowadzał analizy ryzyka dla praw i wolności osób, których dane mogły znaleźć się w publikowanych materiałach.
Co więcej, stosowane środki techniczne i organizacyjne nie były regularnie testowane ani oceniane pod kątem skuteczności. W praktyce oznaczało to brak realnych mechanizmów kontroli tego, jakie dane trafiają do komunikatów i czy ich publikacja jest w ogóle konieczna.
Naruszenie zasady celu i minimalizacji
Jednym z najważniejszych zarzutów było naruszenie zasady ograniczenia celu. Dane osobowe zostały pozyskane w ustawowo określonym celu – prowadzenia czynności policyjnych – a następnie wykorzystane do zupełnie innego celu, czyli obrony wizerunkowej Policji w sporze medialnym.
Prezes UODO zwrócił uwagę, że istotą problemu nie było samo komunikowanie się Policji z opinią publiczną. Kluczowe było sięgnięcie po wewnętrzne zasoby i ujawnienie informacji nadmiarowych, szczególnie wrażliwych i niekoniecznych z punktu widzenia realizacji ustawowych zadań.
Analiza ryzyka jako realny obowiązek
Gdyby analiza została przeprowadzona rzetelnie, pozwoliłaby zidentyfikować zagrożenia związane z publikacją danych o zdrowiu i stanie psychicznym konkretnej osoby oraz wdrożyć środki zapobiegawcze.
W ocenie Prezesa UODO brak takiej analizy doprowadził do sytuacji, w której osoba fizyczna została narażona na poważne naruszenie prywatności i potencjalne zagrożenie bezpieczeństwa. To właśnie dlatego kara nie dotyczyła jedynie samego ujawnienia danych, ale również systemowych zaniedbań po stronie administratora.
Dla innych instytucji publicznych to wyraźny sygnał, że prawo do przetwarzania danych nie oznacza prawa do ich publicznego ujawniania, a komunikacja kryzysowa nie zwalnia z obowiązków wynikających z RODO.
Obserwuj nas w Google Discover
Podobają Ci się nasze treści?
Google Discover
