Odpowiedzialność karna za nieuprawnione przetwarzanie danych osobowych

Przetwarzanie danych osobowych bez podstawy prawnej lub odpowiedniego upoważnienia może rodzić konsekwencje nie tylko w postaci kar administracyjnych, lecz także o charakterze odpowiedzialności karnej. Przepis wyrażony w art. 107 ustawy o ochronie danych osobowych przewiduje, że przetwarzanie danych w sytuacji, gdy jest ono z mocy prawa niedopuszczalne lub podmiot przetwarzający nie jest do niego uprawniony, rodzi odpowiedzialność karną w postaci kary grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch, bądź – w przypadku danych wrażliwych – aż trzech.

 

RODO A ODPOWIEDZIALNOŚĆ KARNA

Przepisy unijnego rozporządzenia same w sobie nie przewidują wyciągania konsekwencji prawnokarnych z tytułu niestosowania się do wyrażonych w nim zasad ochrony danych. Istnieje jednak przepis umożliwiający państwom członkowskim UE wprowadzenie takiego rodzaju odpowiedzialności. Jest to art. 84 ust. 1 RODO, zgodnie z którym państwa członkowskie zobowiązane są do przyjęcia wewnętrznych przepisów prawa określających inne niż zawarte w rozporządzeniu sankcje za naruszenia postanowień RODO.  Jak stwierdzono: Sankcje  te muszą być skuteczne, proporcjonalne i odstraszające. Dodatkowo na możliwość zastosowania sankcji karnych w prawie krajowym wskazuje wprost motyw 149 rozporządzenia – „Państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie niniejszego rozporządzenia(…)”.

KIEDY PRZETWARZANIE DANYCH STAJE SIĘ PRZESTĘPSTWEM?

Konstrukcja art. 107 ustawy o ochronie danych pozwala wyodrębnić dwa rodzaje sytuacji rodzące odpowiedzialność karną:

  • Gdy przetwarzanie danych osobowych odbywa się pomimo tego, że jest niedopuszczalne.
  • Gdy osoba przetwarzająca dane nie jest do tego uprawniona.

Z sytuacją pierwszą będziemy mieli do czynienia, gdy przetwarzanie danych osobowych odbywać się będzie bez istnienia podstawy prawnej wyrażonej w art. 6 RODO lub gdy nie znajdzie zastosowania żadne z wyłączeń zakazu przetwarzania danych szczególnych kategorii opisanych w art. 9 rozporządzenia. W zakresie opisanego typu czynu zabronionego mogą również mieścić się sytuacje, w których administrator zlekceważy odwołanie zgody podmiotu na przetwarzanie danych, bądź nie zaprzestanie przetwarzania po wniesieniu sprzeciwu wobec działań polegających na prowadzeniu marketingu bezpośredniego.

Druga sytuacja polega na przetwarzaniu danych przez osobę nieuprawnioną, czyli nieposiadającą odpowiedniego upoważnienia do przetwarzania danych osobowych nadanego przez administratora lub podmiot przetwarzający. Uprawnienie do przetwarzania danych może również wynikać bezpośrednio z przepisów prawa (np. w przypadku organów kontrolnych administracji publicznej).

KTO MOŻE ODPOWIADAĆ ZA BEZPRAWNE PRZETWARZANIE DANYCH?

Przestępstwo opisane w art. 107 u.o.d.o. ma charakter powszechny, oznacza to, że do odpowiedzialności na jego podstawie może zostać pociągnięty każdy kto umyślnie przetwarza dane bez odpowiedniego upoważnienia lub w sytuacji gdy przetwarzanie danych jest niedopuszczalne. Zakres podmiotów, które potencjalnie mogą zostać pociągnięte do odpowiedzialności może zawierać więc między innymi pracowników przetwarzających dane niezgodnie z zakresem wydanego upoważnienia przez pracodawcę oraz podwykonawców pełniących rolę procesora, przetwarzających dane niezgodnie z umową powierzenia. Fakt, że omawiane przestępstwo można popełnić tylko umyślnie sprawia, że art. 107 nie będzie miał zastosowania do pracowników bądź podwykonawców, którzy nie mają świadomości, że polecenie przetwarzania wydane im przez administratora danych jest bezprawne.

W uzasadnieniu do projektu ustawy o ochronie danych wskazano, że przepisy karne powinny być stosowane w przypadku najcięższych naruszeń przepisów ochrony danych. Miejmy nadzieję, że praktyka orzecznicza podzieli to stanowisko i podstawowymi sankcjami za nieuprawnione przetwarzanie danych pozostanie pozostaną środki administracyjne. Jednak wprowadzenie przepisów karnych do ustawy o ochronie danych osobowych jest mocnym argumentem przemawiającym za dołożeniem należytej staranności do określenia podstaw przetwarzania danych oraz wyznaczeniem precyzyjnych reguł wydawania upoważnień.

 

Autor

Paweł Sobel

Doświadczenie zdobywał pracując w uznanych krakowskich kancelariach specjalizujących się w zagadnieniach dotyczących ochrony danych osobowych, prawa własności intelektualnej, prawie medycznym oraz prawie pracy. Brał udział w tworzeniu dokumentacji oraz procedur w ramach wielu projektów wdrożenia RODO.