Czy brak wdrożenia RODO w organizacji może skutkować odpowiedzialnością karną kierownictwa organizacji? Czy pracownik organizacji, zobowiązany do ochrony danych osobowych, może zostać pociągnięty do odpowiedzialności karnej? Na jakie sankcje narażony jest pracownik, który narusza przepisy ochrony danych osobowych? Zasada rozliczalności jako obrona przed odpowiedzialnością karną.
Pomimo tego, iż Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/ 46/ WE (ogólne rozporządzenie o ochronie danych, dalej: RODO) nie wprowadza sankcji karnych za niezgodne z prawem przetwarzanie danych osobowych, nie oznacza to że prawodawca europejski nie przewidział możliwości ich wprowadzenia przez poszczególne państwa członkowskie. Zgodnie z art. 84 ust 1 RODO „państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.”
W motywie 149 RODO znajduje się odwołanie wprost do sankcji karnych. Zgodnie z tym motywem „państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie RODO, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach.” Należy jednak mieć na uwadze, że zgodnie z wykładnią Trybunału Sprawiedliwości Unii Europejskiej (por. wyroki w sprawach C-524/ 15 Luca Menci, C-537/ 16 Garlsson Real Estate SA i in./ Commissione Nazionale per le Società e la Borsa (Consob) oraz w sprawach połączonych C-596/ 16 Enzo Di Puma/ Consob i C-597/ 16 Consob/ Antonio Zecca), nałożenie sankcji za naruszenie przepisów krajowych i nałożenie kar administracyjnych nie może ograniczać zasady ne bis in idem, czyli ta sama osoba nie może być ponownie sądzona lub ukarana za to samo przestępstwo w postępowaniu karnym, a także w zbiegu postępowań karnych z administracyjnymi (szerzej na ten temat: Arkadiusz LACH, Sankcje administracyjne i karne a zakaz podwójnego karania w świetle najnowszego orzecznictwa ETPCz i TS [1]).
Ustawodawca krajowy uregulował odpowiedzialność karną za naruszenie przepisów o ochronie danych osobowych w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: UODO). Art. 107 i 108 tejże ustawy statuują odpowiedzialność karną w następujących przypadkach:
- Przetwarzanie danych osobowych jest niezgodne z prawem (art. 107 ust. 1 in principium UODO).
- Przetwarzanie danych osobowych odbywa się przez osobę do tego nieuprawnioną (art. 107 ust. 2 in fine UODO).
- Udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych albo niedostarczanie danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarczanie danych, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej (art. 108 ust. 1 i 2 UODO).
Zgodnie z UODO, powyższe występki zagrożone są karami grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch, w przypadku zaś, gdy czyn, określony w art. 107 ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
Zgodnie z treścią art. 1 § 1 kodeksu karnego „odpowiedzialności karnej podlega ten tylko, kto popełnia czyn zabroniony pod groźbą kary przez ustawę obowiązującą w czasie jego popełnienia, odpowiedzialność karną za naruszenie przepisów ochrony danych osobowych może ponosić wyłącznie pracownik organizacji, w tym również członek jej kierownictwa.
Występki określone w art. 107 UODO należą do kategorii przestępstw powszechnych, mogą one zostać popełnione przez każdą osobę, której można przypisać zdolność do odpowiedzialności karnej, są przestępstwami ściganymi z urzędu, z oskarżenia publicznego.
Odpowiedzialności karnej za niedopuszczalne lub niezgodne z prawem przetwarzanie danych podlega ten, kto:
- Przetwarza dane osobowe.
- Czyni to w sposób niedopuszczalny w danym stanie faktycznym lub nie posiada uprawnienia do takiego przetwarzania.
- Przetwarza dane w sposób umyślny.
Warto zwrócić w tym miejscu uwagę na fakt, iż przestępstw niezgodnego z prawem lub nieuprawnionego przetwarzania danych można dokonać niezależnie od tego, czy do przetwarzania danych sprawca zobowiązany był do stosowania przepisów RODO czy nie. Przetwarzanie danych osobowych, nawet, jeśli nie mają do niego zastosowania przepisy RODO, wciąż pozostaje przetwarzaniem danych osobowych. Przykładami tego typu przetwarzania jest np. nielegalne wejście sprawcy w posiadanie danych osobowych, nielegalne wykorzystanie przez niego danych osobowych lub ich przetwarzanie w ramach czynności o czysto osobistym lub domowym charakterze, np. gdy zostały pozyskane wskutek pomyłki nadawcy wiadomości, zawierającej takie dane.
Obok przestępstw opisanych w UODO, może także dojść do przestępstw przeciwko ochronie informacji, wskazanych w rozdziale XXXIII kodeksu karnego. Pomimo tego, że obie kategorie przestępstw są od siebie niezależne, sprawca jednym działaniem może popełnić przestępstwa określone w kilku przepisach karnych. Może się tak bowiem zdarzyć, że osoba, działając bez uprawnienia uzyska dostęp do informacji dla niego nieprzeznaczonej, wypełniając swoim działaniem znamiona dwóch przestępstw, tj. art. 267 § 1 kk oraz art. 107 ust. 1 UODO.
Zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO, na administratorze (lub na podmiocie przetwarzającym) ciąży obowiązek wykazania zgodności przetwarzania danych z przepisami RODO lub konieczność wykazania, że nie ponosi on winy za wyrządzoną szkodę. Kluczowa, z punktu widzenia RODO, zasada rozliczalności jest faktycznie przeciwieństwem zasady domniemania niewinności, wynikającym z art. 5 § 1 kodeksu karnego (dalej kk). W zakresie odpowiedzialności karnej za niezgodne z prawem przetwarzanie danych osobowych nie pozostaje ona jednak bez wpływu na ewentualną odpowiedzialność karną sprawcy naruszenia.
Stosując zasadę rozliczalności można przypisać sprawcy odpowiedzialność karną. Aby udowodnić sprawcy popełnienie przestępstwa, prokurator może wnieść zarzut o niedopuszczalności lub niezgodności z prawem przetwarzania danych osobowych. Milczenie sprawcy działa na w tym przypadku na jego niekorzyść. Jeśli nie potrafi on wykazać (rozliczyć się), iż przetwarza dane osobowe w sposób legalny, przyjmuje się, że albo nie zna on podstawy prawnej przetwarzania danych osobowych albo stara się ją ukryć. A contrario, zasada rozliczalności stanowi więc kluczowy element dla obrony przed podejrzeniem o popełnienie przestępstwa. Dokumentowanie procesów przetwarzania danych osobowych, wskazujących na ich zgodność z prawem okazuje się więc kluczowe dla obrony przez podejrzeniem o popełnienie przestępstwa. Brak takich dowodów może bowiem negatywnie wpłynąć na ocenę działań podejmowanych przez sprawcę.
Obok zasady rozliczalności warto także wspomnieć o zasadzie minimalizacji (art. 25 ust. 2 RODO). Organizacje, które stosują łącznie obie powyższe zasady są dużo bardziej odporne na uniknięcie odpowiedzialności karnej za podejrzenie o przetwarzaniu danych osobowych bez uprawnień. Właściwe stosowanie tych zasad pozwala na łatwiejszą identyfikację osób, którym przydzielono konkretny zakres uprawnień do przetwarzania danych osobowych, co pozwala na przypisanie konkretnej odpowiedzialności.
Zasada rozliczalności pomaga również wykazać umyślność popełnienia przestępstwa, szczególnie jeżeli sprawca działał w zamiarze ewentualnym. Ten typ zamiaru polega bowiem na tym, że sprawca wie o tym, że jego działanie może być przestępstwem, jednakże godzi się na taką konsekwencję (art. 9 § 1 in fine kk).
Podsumowując, brak wdrożenia RODO w organizacji jest z pewnością przesłanką obciążającą jej kierownictwo i może skutkować jego odpowiedzialnością karną. W poprawnie funkcjonującej organizacji łatwo jest wskazać osoby odpowiedzialne za przetwarzanie danych osobowych, a co za tym idzie także osoby odpowiedzialne za popełnienie jednego z opisywanych powyżej przestępstw. Wdrożenie RODO oraz odpowiednie przeszkolenie osób bezpośrednio odpowiedzialnych za przetwarzanie danych osobowych zwalnia kierownictwo organizacji od poniesienia odpowiedzialności karnej. Osobom upoważnionym do przetwarzania danych osobowych, które dodatkowo przeszły szkolenie RODO trudniej jest bowiem wytłumaczyć się niewiedzą.
[1] https://pk.gov.pl/wp-content/uploads/2017/09/fd6d39319302d20826f35d00015c463b.doc