Stan faktyczny
Wyrokiem z 18.3.2026 r., II SA/Wa 807/25, Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Polskiego Radia – Regionalnej Rozgłośni w Szczecinie na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 6.3.2025 r., DKN.5112.10.2024, Legalis. Decyzja została wydana po kontroli dotyczącej zgodności przetwarzania danych osobowych z RODO w ramach działalności redakcyjnej prowadzonej przez administratora.
Kontrola obejmowała stosowane przez administratora środki techniczne i organizacyjne, w tym analizę ryzyka, polityki ochrony danych oraz procedury bezpieczeństwa. W toku czynności organ pozyskał dokumentację wewnętrzną, przeprowadził oględziny systemów i urządzeń oraz uzyskał wyjaśnienia pracowników. Jak wynika z komunikatu UODO, protokół kontroli został podpisany bez zastrzeżeń przez osoby uprawnione do reprezentowania spółki.
Prezes UODO stwierdził m.in. brak analizy ryzyka dla działalności redakcyjnej, niestosowanie postanowień własnej dokumentacji bezpieczeństwa, brak procedur weryfikacji materiałów prasowych pod kątem danych osobowych oraz brak szyfrowania nośników zawierających dane używanych poza obszarem przetwarzania. Organ wskazał również, że administrator nie prowadził regularnych przeglądów i aktualizacji wdrożonych środków bezpieczeństwa.
W decyzji Prezes UODO nakazał administratorowi dostosowanie operacji przetwarzania do wymogów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 2016 Nr 119, s. 1; dalej: RODO), w szczególności poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych po przeprowadzeniu analizy ryzyka oraz zapewnienie regularnego testowania i oceniania skuteczności zabezpieczeń. Administrator został zobowiązany także do opracowania zasad weryfikacji materiałów prasowych pod kątem danych osobowych mogących prowadzić do identyfikacji osób fizycznych.
Stan prawny
Podstawą decyzji Prezesa UODO były art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO. Pierwszy z tych przepisów nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, uwzględniających charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Administrator powinien również móc wykazać zgodność przetwarzania z RODO oraz regularnie weryfikować stosowane zabezpieczenia.
Artykuł 32 RODO konkretyzuje obowiązek zapewnienia bezpieczeństwa przetwarzania. Administrator ma obowiązek wdrożyć środki odpowiadające poziomowi ryzyka, w tym m.in. rozwiązania zapewniające poufność i integralność danych, szyfrowanie oraz regularne testowanie i ocenianie skuteczności zabezpieczeń.
Kluczowy dla sprawy był również art. 2 ust. 1 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781), implementujący art. 85 RODO. Przepis przewiduje wyłączenie stosowania części regulacji RODO do działalności prasowej, jednak nie obejmuje ono art. 24 i 32 RODO. Prezes UODO podkreślił więc, że wyłączenie stosowania części przepisów RODO do działalności prasowej nie obejmuje obowiązków związanych z bezpieczeństwem przetwarzania danych.
Organ odwołał się także do przepisów ustawy z 26.1.1984 r. – Prawo prasowe (t.j. Dz.U. z 2018 r. poz. 1914; dalej: PrPras), w szczególności art. 13 ust. 2 PrPras dotyczącego zakazu publikowania danych osobowych m.in. świadków, pokrzywdzonych i poszkodowanych bez ich zgody oraz art. 14 PrPras odnoszącego się do publikowania informacji dotyczących prywatnej sfery życia. W ocenie organu regulacje te powinny znajdować odzwierciedlenie w procedurach funkcjonujących u administratora.
Argumentacja organu i stanowisko WSA
Prezes UODO uznał, że administrator nie wykazał wdrożenia odpowiednich środków technicznych i organizacyjnych. Organ podkreślił, że podejście oparte na ryzyku jest jednym z podstawowych elementów systemu ochrony danych osobowych pod rządami RODO. Administrator powinien najpierw określić poziom ryzyka związanego z przetwarzaniem, a następnie dobrać adekwatne środki zabezpieczające. Bez przeprowadzenia i udokumentowania analizy ryzyka nie jest możliwe wykazanie, że zastosowane środki są odpowiednie i proporcjonalne do charakteru przetwarzania.
W decyzji zaakcentowano, że administrator posiadał dokumentację wewnętrzną, ale jej postanowienia nie były realnie stosowane. Polityka bezpieczeństwa przewidywała analizę ryzyka jako podstawę projektowania i utrzymywania systemu bezpieczeństwa danych osobowych, jednak analiza taka nie została przeprowadzona dla działalności redakcyjnej. Instrukcja zarządzania systemami informatycznymi przewidywała natomiast szyfrowanie nośników zawierających dane osobowe przekazywanych poza obszar przetwarzania, ale kontrola wykazała, że określone urządzenia i nośniki nie były szyfrowane.
Szczególne znaczenie organ przypisał brakowi procedury weryfikacji materiałów prasowych przed publikacją. Prezes UODO wskazał, że dokumentacja funkcjonująca u administratora nie regulowała takich kwestii jak wskazanie osób odpowiedzialnych za przestrzeganie zakazu publikowania danych, sposób dokumentowania i weryfikacji zgody na publikację danych czy sposób anonimizacji danych. Weryfikacja materiałów opierała się jedynie na strukturze organizacyjnej pionu redakcyjnego i podległości służbowej.
Prezes UODO wskazał również, że brak przejrzystej procedury prowadził do braku kontroli nad tym, czy materiały prasowe były każdorazowo sprawdzane pod kątem zgodności z prawem oraz ryzyka naruszenia praw lub wolności osób fizycznych. Organ zwrócił także uwagę, że publikacja materiałów w internecie może prowadzić do dalszego, nieograniczonego rozpowszechniania danych osobowych.
Przy wymiarze kary Prezes UODO zastosował Wytyczne EROD 04/2022 dotyczące obliczania administracyjnych kar pieniężnych. Naruszenie zostało zakwalifikowane jako naruszenie o średnim poziomie powagi. Organ uwzględnił charakter, wagę i czas trwania naruszenia, nieumyślny charakter naruszenia oraz kategorie danych, których mogło ono dotyczyć. Jako okoliczność obciążającą wskazano brak działań zmierzających do poprawy stanu ochrony danych po wszczęciu postępowania. Organ nie stwierdził natomiast okoliczności łagodzących.
WSA w Warszawie oddalił skargę na decyzję Prezesa UODO. Z komunikatu Urzędu wynika, że sąd zwrócił uwagę na podpisanie protokołu kontroli bez zastrzeżeń przez osoby uprawnione. Jak wynika z komunikatu UODO, sąd uznał także, że administracyjna kara pieniężna była adekwatna i prawidłowo uzasadniona. W konsekwencji utrzymane zostało stanowisko Prezesa UODO, zgodnie z którym administrator prowadzący działalność redakcyjną nie jest zwolniony z obowiązku wdrożenia środków bezpieczeństwa danych wymaganych przez RODO.
Wyrok WSA potwierdza, że wyjątek dziennikarski nie wyłącza obowiązków administratora wynikających z art. 24 i 32 RODO. Podmioty medialne nadal muszą wdrażać odpowiednie środki techniczne i organizacyjne oraz być w stanie wykazać, że bezpieczeństwo przetwarzania odpowiada poziomowi ryzyka.
Najważniejszym elementem sprawy pozostaje znaczenie analizy ryzyka. Bez jej przeprowadzenia administrator nie jest w stanie ocenić, jakie zagrożenia wiążą się z publikacją materiałów prasowych i jakie zabezpieczenia powinny zostać wdrożone. W praktyce dotyczy to zwłaszcza materiałów mogących prowadzić do identyfikacji osób pokrzywdzonych lub świadków.
Sprawa pokazuje również, że sama dokumentacja ochrony danych nie jest wystarczająca, jeśli organizacja nie stosuje jej w praktyce. Prezes UODO zwrócił uwagę zarówno na brak procedur weryfikacji materiałów prasowych przed publikacją, jak i na niestosowanie istniejących zasad dotyczących bezpieczeństwa danych.
Orzeczenie może mieć znaczenie dla podmiotów prowadzących działalność medialną, ponieważ wskazuje, że procedury dotyczące anonimizacji, weryfikacji danych i oceny ryzyka powinny stanowić stały element procesu publikacyjnego.
Wyrok WSA w Warszawie z 18.3.2026 r., II SA Wa 807/25
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
