Ochrona danych osobowych w mediach od dawna budzi wiele pytań, ponieważ spotykają się tu trzy ważne wartości: wolność słowa, interes publiczny i prawo do prywatności. Media mają obowiązek informować o sprawach ważnych społecznie, ale nie mogą przy tym naruszać praw osób, które pojawiają się w ich materiałach.
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 18 marca 2026 r. (sygn. II SA/Wa 807/25) ma znaczenie nie tylko dla samej sprawy Radia Szczecin. To wyraźny sygnał dla całej branży medialnej, że wolność prasy nie zwalnia z obowiązku przestrzegania zasad ochrony danych osobowych i dbania o bezpieczeństwo informacji.
Spis treści
Dlaczego WSA oddalił skargę?
18 marca 2026 roku WSA w Warszawie oddalił skargę Polskiego Radia – Regionalnej Rozgłośni w Szczecinie na decyzję Prezesa Urzędu Ochrony Danych Osobowych. Sąd uznał, że argumentacja Mirosława Wróblewskiego, Prezesa UODO, była w pełni uzasadniona, a nałożona kara w wysokości 56 824 zł jest adekwatna do skali zaniedbań.
Sąd zwrócił uwagę na kluczowy aspekt formalny: protokół kontroli dokumentujący uchybienia został podpisany przez uprawnione osoby bez żadnych zastrzeżeń. Z punktu widzenia procesowego to moment zwrotny – oznacza on, że stan faktyczny nie budził wątpliwości nawet u samego administratora w momencie inspekcji. Sąd podzielił opinię organu nadzorczego: redakcja odpowiada nie tylko za to, co pojawia się na antenie, ale za cały proces organizacji pracy, obieg informacji i techniczne zabezpieczenia, które mają chronić prywatność bohaterów.
Co wykazała kontrola UODO?
Kontrola przeprowadzona przez UODO wykazała, że problem w rozgłośni nie miał charakteru incydentalnego. Nie chodziło o pojedynczy błąd pracownika, lecz o poważniejsze nieprawidłowości w sposobie organizacji pracy i ochrony danych. W ocenie organu istniało rzeczywiste ryzyko bezpodstawnego ujawniania informacji dotyczących życia prywatnego osób, których dotyczyły publikowane materiały.
Brak rzetelnej analizy ryzyka
Podstawowym grzechem administratora był brak przeprowadzenia analizy ryzyka dla operacji przetwarzania danych w ramach działalności redakcyjnej. Zgodnie z art. 24 ust. 1 RODO, każdy podmiot musi ocenić, jakie zagrożenia dla praw i wolności osób fizycznych generuje jego praca.
W Radiu Szczecin ten proces w ogóle nie istniał w kontekście tworzenia i publikowania materiałów prasowych. Redakcja nie zastanowiła się, co może się stać, gdy do opinii publicznej trafią dane pozwalające na identyfikację ofiar przestępstw. To poważne zaniedbanie sprawiło, że administrator nie rozpoznał na czas ryzyk, które w konsekwencji doprowadziły do tragedii.
Fikcyjne procedury i nieprzestrzeganie własnej polityki
Kontrola UODO pokazała problem, który wciąż pojawia się w wielu organizacjach: procedury ochrony danych istnieją formalnie, ale nie są stosowane w codziennej pracy. Polskie Radio Szczecin miało własną politykę ochrony danych osobowych, jednak z ustaleń kontroli wynika, że w praktyce nie była ona rzeczywiście przestrzegana.
Pracownicy i osoby decyzyjne nie stosowali się do wewnętrznych wytycznych, co czyniło system ochrony danych fikcją. Dla organu nadzorczego jest to okoliczność szczególnie obciążająca – administrator miał świadomość obowiązków, ale świadomie lub przez rażące niedbalstwo zaniechał ich egzekwowania.
Brak mechanizmów weryfikacji materiałów przed publikacją
Najbardziej newralgicznym punktem okazał się całkowity brak „bezpieczników” na etapie wydawniczym. W toku kontroli ustalono, że weryfikacja materiałów pod kątem ochrony prywatności nie odbywała się na podstawie żadnych jasnych zasad.
Nie istniały instrukcje ani procedury, które nakładałyby na redaktorów obowiązek sprawdzenia tekstu przed publikacją pod kątem danych pozwalających na identyfikację osób. W efekcie panowała pełna dowolność – to, czy czyjaś prywatność zostanie naruszona, zależało wyłącznie od indywidualnego wyczucia dziennikarza, a nie od systemowych standardów bezpieczeństwa. Taki brak nadzoru nad procesem publikacji bezpośrednio umożliwił identyfikację młodej ofiary w 2022 roku.
Zaniedbania techniczne: brak szyfrowania i testów odporności
Problem nie ograniczał się tylko do procedur „miękkich”. Kontrola wykazała również poważne luki w zabezpieczeniach technicznych, co stanowi naruszenie art. 32 RODO:
- Brak szyfrowania: Nośniki danych (pendrive’y, laptopy) używane przez dziennikarzy poza redakcją nie były szyfrowane. W przypadku zgubienia lub kradzieży sprzętu, dane osobowe bohaterów materiałów byłyby dostępne dla każdego.
- Brak testowania: Radio nie wdrożyło mechanizmów regularnego mierzenia i oceniania skuteczności swoich środków bezpieczeństwa.
Prezes UODO uznał, że te braki w ciągłym zapewnieniu poufności i odporności systemów oznaczają, że dane osobowe w rozgłośni są nadal zagrożone. Stąd w decyzji znalazł się surowy nakaz naprawienia tych błędów w ciągu 60 dni.
Granica anonimowości w materiałach prasowych
Sprawa ta ma wyjątkowo bolesny kontekst społeczny. Poważne braki w procedurach przyczyniły się bezpośrednio do sytuacji z 2022 roku, gdy w materiale prasowym opisano fakt skazania za molestowanie seksualne. Dziennikarz ujawnił, że ofiarą padł syn posłanki, podając na tyle dużo szczegółów („danych kontekstowych”), że dziecko można było bezbłędnie zidentyfikować w lokalnej społeczności.
Następstwem tej publikacji była niewyobrażalna tragedia – samobójstwo nastolatka. Ten przypadek pokazuje, że definicja danych osobowych jest szeroka. To nie tylko imię i nazwisko. To wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej – w tym powiązania rodzinne, lokalizacja czy szczególne cechy społeczne. Prawo prasowe wyraźnie zakazuje publikowania bez zgody informacji z prywatnej sfery życia, chyba że wiąże się to bezpośrednio z działalnością publiczną danej osoby. W przypadku ofiar przestępstw, a zwłaszcza dzieci, granica ta jest nienaruszalna.
Dziennikarski przywilej a twarde obowiązki RODO
Wiele aspektów działalności redakcyjnej korzysta z tzw. klauzuli prasowej, która ogranicza stosowanie niektórych przepisów RODO, by chronić wolność słowa. Jednak wyrok WSA potwierdza, że to zwolnienie nie jest absolutne. Media wciąż muszą spełniać obowiązki wynikające z:
- Art. 24 ust. 1 RODO – administrator musi wdrażać odpowiednie środki, by przeciwdziałać ryzyku naruszenia praw lub wolności osób fizycznych.
- Art. 32 ust. 1 i 2 RODO – zapewnienie bezpieczeństwa przetwarzania poprzez m.in. pseudonimizację i szyfrowanie danych.
Sąd i Prezes UODO przypomnieli, że przestrzeganie zakazu publikowania danych prywatnych wymaga od redakcji wdrożenia konkretnych mechanizmów bezpieczeństwa. Brak instrukcji weryfikacji materiałów przed ich upublicznieniem jest bezpośrednim naruszeniem tych przepisów.
60 dni na naprawę i konsekwencje dla mediów publicznych
Wyrok WSA to punkt zwrotny dla całego sektora mediów publicznych. Polskie Radio Szczecin otrzymało nakaz naprawienia błędów organizacyjnych i technicznych w ciągu 60 dni. Co więcej, Prezes UODO podjął działania systemowe, kierując w 2025 roku wystąpienia do szefów wszystkich spółek radiofonii publicznej w Polsce.
Jak stwierdził Mirosław Wróblewski: „Nałożenie kary jest konieczne, ponieważ skala zaniechań była bardzo duża. Gdyby nie słaba sytuacja finansowa publicznych rozgłośni regionalnych, mogłaby ona być znacznie wyższa”. Kara ta ma być lekcją dla całej branży, że profesjonalne dziennikarstwo to nie tylko szybkość i zasięg, ale przede wszystkim odpowiedzialność za drugiego człowieka.
Podsumowanie
Sprawa Radia Szczecin to surowa przestroga: ochrona danych w redakcji to nie biurokracja, lecz elementarna higiena pracy dziennikarskiej. Wyrok o sygnaturze II SA Wa 807/25 potwierdza, że organ nadzorczy ma prawo i obowiązek karać za brak należytej staranności, zwłaszcza gdy zaniedbania prowadzą do naruszenia godności i bezpieczeństwa jednostki.
