Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Odpowiedzialność karna a RODO

Odpowiedzialność karna a RODO

05.07.2022
Autor: Jarosław W. Mrożek
Sankcje, kary finansowe RODO

Czy brak wdrożenia RODO w organizacji może skutkować odpowiedzialnością karną kierownictwa organizacji? Czy pracownik organizacji, zobowiązany do ochrony danych osobowych, może zostać pociągnięty do odpowiedzialności karnej? Na jakie sankcje narażony jest pracownik, który narusza przepisy ochrony danych osobowych? Zasada rozliczalności jako obrona przed odpowiedzialnością karną.

Pomimo tego, iż Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/ 46/ WE (ogólne rozporządzenie o ochronie danych, dalej: RODO) nie wprowadza sankcji karnych za niezgodne z prawem przetwarzanie danych osobowych, nie oznacza to że prawodawca europejski nie przewidział możliwości ich wprowadzenia przez poszczególne państwa członkowskie. Zgodnie z art. 84 ust 1 RODO „państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.”

W motywie 149 RODO znajduje się odwołanie wprost do sankcji karnych. Zgodnie z tym motywem „państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie RODO, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach.” Należy jednak mieć na uwadze, że zgodnie z wykładnią Trybunału Sprawiedliwości Unii Europejskiej (por. wyroki w sprawach C-524/ 15 Luca Menci, C-537/ 16 Garlsson Real Estate SA i in./ Commissione Nazionale per le Società e la Borsa (Consob) oraz w sprawach połączonych C-596/ 16 Enzo Di Puma/ Consob i C-597/ 16 Consob/ Antonio Zecca), nałożenie sankcji za naruszenie przepisów krajowych i nałożenie kar administracyjnych nie może ograniczać zasady ne bis in idem, czyli ta sama osoba nie może być ponownie sądzona lub ukarana za to samo przestępstwo w postępowaniu karnym, a także w zbiegu postępowań karnych z administracyjnymi (szerzej na ten temat: Arkadiusz LACH, Sankcje administracyjne i karne a zakaz podwójnego karania w świetle najnowszego orzecznictwa ETPCz i TS [1]).

Ustawodawca krajowy uregulował odpowiedzialność karną za naruszenie przepisów o ochronie danych osobowych w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: UODO). Art. 107 i 108 tejże ustawy statuują odpowiedzialność karną w następujących przypadkach:

Przetwarzanie danych osobowych jest niezgodne z prawem (art. 107 ust. 1 in principium UODO).
Przetwarzanie danych osobowych odbywa się przez osobę do tego nieuprawnioną (art. 107 ust. 2 in fine UODO).
Udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych albo niedostarczanie danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarczanie danych, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej (art. 108 ust. 1 i 2 UODO).

Zgodnie z UODO, powyższe występki zagrożone są karami grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch, w przypadku zaś, gdy czyn, określony w art. 107 ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Zgodnie z treścią art. 1 § 1 kodeksu karnego „odpowiedzialności karnej podlega ten tylko, kto popełnia czyn zabroniony pod groźbą kary przez ustawę obowiązującą w czasie jego popełnienia, odpowiedzialność karną za naruszenie przepisów ochrony danych osobowych może ponosić wyłącznie pracownik organizacji, w tym również członek jej kierownictwa.

Występki określone w art. 107 UODO należą do kategorii przestępstw powszechnych, mogą one zostać popełnione przez każdą osobę, której można przypisać zdolność do odpowiedzialności karnej, są przestępstwami ściganymi z urzędu, z oskarżenia publicznego.

Odpowiedzialności karnej za niedopuszczalne lub niezgodne z prawem przetwarzanie danych podlega ten, kto:

Przetwarza dane osobowe.
Czyni to w sposób niedopuszczalny w danym stanie faktycznym lub nie posiada uprawnienia do takiego przetwarzania.
Przetwarza dane w sposób umyślny.

Warto zwrócić w tym miejscu uwagę na fakt, iż przestępstw niezgodnego z prawem lub nieuprawnionego przetwarzania danych można dokonać niezależnie od tego, czy do przetwarzania danych sprawca zobowiązany był do stosowania przepisów RODO czy nie. Przetwarzanie danych osobowych, nawet, jeśli nie mają do niego zastosowania przepisy RODO, wciąż pozostaje przetwarzaniem danych osobowych. Przykładami tego typu przetwarzania jest np. nielegalne wejście sprawcy w posiadanie danych osobowych, nielegalne wykorzystanie przez niego danych osobowych lub ich przetwarzanie w ramach czynności o czysto osobistym lub domowym charakterze, np. gdy zostały pozyskane wskutek pomyłki nadawcy wiadomości, zawierającej takie dane.

Obok przestępstw opisanych w UODO, może także dojść do przestępstw przeciwko ochronie informacji, wskazanych w rozdziale XXXIII kodeksu karnego. Pomimo tego, że obie kategorie przestępstw są od siebie niezależne, sprawca jednym działaniem może popełnić przestępstwa określone w kilku przepisach karnych. Może się tak bowiem zdarzyć, że osoba, działając bez uprawnienia uzyska dostęp do informacji dla niego nieprzeznaczonej, wypełniając swoim działaniem znamiona dwóch przestępstw, tj. art. 267 § 1 kk oraz art. 107 ust. 1 UODO.

Zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO, na administratorze (lub na podmiocie przetwarzającym) ciąży obowiązek wykazania zgodności przetwarzania danych z przepisami RODO lub konieczność wykazania, że nie ponosi on winy za wyrządzoną szkodę. Kluczowa, z punktu widzenia RODO, zasada rozliczalności jest faktycznie przeciwieństwem zasady domniemania niewinności, wynikającym z art. 5 § 1 kodeksu karnego (dalej kk). W zakresie odpowiedzialności karnej za niezgodne z prawem przetwarzanie danych osobowych nie pozostaje ona jednak bez wpływu na ewentualną odpowiedzialność karną sprawcy naruszenia.

Stosując zasadę rozliczalności można przypisać sprawcy odpowiedzialność karną. Aby udowodnić sprawcy popełnienie przestępstwa, prokurator może wnieść zarzut o niedopuszczalności lub niezgodności z prawem przetwarzania danych osobowych. Milczenie sprawcy działa na w tym przypadku na jego niekorzyść. Jeśli nie potrafi on wykazać (rozliczyć się), iż przetwarza dane osobowe w sposób legalny, przyjmuje się, że albo nie zna on podstawy prawnej przetwarzania danych osobowych albo stara się ją ukryć. A contrario, zasada rozliczalności stanowi więc kluczowy element dla obrony przed podejrzeniem o popełnienie przestępstwa. Dokumentowanie procesów przetwarzania danych osobowych, wskazujących na ich zgodność z prawem okazuje się więc kluczowe dla obrony przez podejrzeniem o popełnienie przestępstwa. Brak takich dowodów może bowiem negatywnie wpłynąć na ocenę działań podejmowanych przez sprawcę.

Obok zasady rozliczalności warto także wspomnieć o zasadzie minimalizacji (art. 25 ust. 2 RODO). Organizacje, które stosują łącznie obie powyższe zasady są dużo bardziej odporne na uniknięcie odpowiedzialności karnej za podejrzenie o przetwarzaniu danych osobowych bez uprawnień. Właściwe stosowanie tych zasad pozwala na łatwiejszą identyfikację osób, którym przydzielono konkretny zakres uprawnień do przetwarzania danych osobowych, co pozwala na przypisanie konkretnej odpowiedzialności.

Zasada rozliczalności pomaga również wykazać umyślność popełnienia przestępstwa, szczególnie jeżeli sprawca działał w zamiarze ewentualnym. Ten typ zamiaru polega bowiem na tym, że sprawca wie o tym, że jego działanie może być przestępstwem, jednakże godzi się na taką konsekwencję (art. 9 § 1 in fine kk).

Podsumowując, brak wdrożenia RODO w organizacji jest z pewnością przesłanką obciążającą jej kierownictwo i może skutkować jego odpowiedzialnością karną. W poprawnie funkcjonującej organizacji łatwo jest wskazać osoby odpowiedzialne za przetwarzanie danych osobowych, a co za tym idzie także osoby odpowiedzialne za popełnienie jednego z opisywanych powyżej przestępstw. Wdrożenie RODO oraz odpowiednie przeszkolenie osób bezpośrednio odpowiedzialnych za przetwarzanie danych osobowych zwalnia kierownictwo organizacji od poniesienia odpowiedzialności karnej. Osobom upoważnionym do przetwarzania danych osobowych, które dodatkowo przeszły szkolenie RODO trudniej jest bowiem wytłumaczyć się niewiedzą.

[1] https://pk.gov.pl/wp-content/uploads/2017/09/fd6d39319302d20826f35d00015c463b.doc

Autor

Jarosław W. Mrożek

Radca prawny, audytor RODO, stały mediator sądowy.

Doświadczenie zawodowe zdobywał w warszawskich kancelariach prawnych oraz polskich i międzynarodowych spółkach.
Doradzał spółkom z branży produkcyjnej, handlowej, turystycznej i budowlanej.
Pełni funkcję Inspektora Ochrony Danych oraz koordynatora ochrony danych osobowych w spółkach i innych podmiotach.
Autor artykułów branżowych oraz uczestnik licznych wydarzeń poświęconych ochronie danych osobowych, procedurom ISO, cyberbezpieczeństwu, przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Cechuje się praktyczną znajomością przepisów związanych z ochroną danych osobowych, tworzenia dokumentacji zgodnej z rozporządzeniem RODO, wdrażania projektów związanych z ochroną danych osobowych, sporządzania umów powierzenia, prowadzenia warsztatów i szkoleń z zakresu RODO.
Posługuje się biegle jęz. angielskim i francuskim.

Z tej samej kategorii

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>