Odpowiedzialność karna a RODO

Czy brak wdrożenia RODO w organizacji może skutkować odpowiedzialnością karną kierownictwa organizacji? Czy pracownik organizacji, zobowiązany do ochrony danych osobowych, może zostać pociągnięty do odpowiedzialności karnej? Na jakie sankcje narażony jest pracownik, który narusza przepisy ochrony danych osobowych? Zasada rozliczalności jako obrona przed odpowiedzialnością karną.

Pomimo tego, iż Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/ 46/ WE (ogólne rozporządzenie o ochronie danych, dalej: RODO) nie wprowadza  sankcji karnych za niezgodne z prawem przetwarzanie danych osobowych, nie oznacza to że prawodawca europejski nie przewidział możliwości ich wprowadzenia przez poszczególne państwa członkowskie. Zgodnie z art. 84 ust 1 RODO „państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.”

 

W motywie 149 RODO znajduje się odwołanie wprost do sankcji karnych. Zgodnie z tym motywem „państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie RODO, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach.” Należy jednak mieć na uwadze, że zgodnie z wykładnią Trybunału Sprawiedliwości Unii Europejskiej (por. wyroki w sprawach C-524/ 15 Luca Menci, C-537/ 16 Garlsson Real Estate SA i in./ Commissione Nazionale per le Società e la Borsa (Consob) oraz w sprawach połączonych C-596/ 16 Enzo Di Puma/ Consob i C-597/ 16 Consob/ Antonio Zecca), nałożenie sankcji za naruszenie przepisów krajowych i nałożenie kar administracyjnych nie może ograniczać zasady ne bis in idem, czyli ta sama osoba nie może być ponownie sądzona lub ukarana za to samo przestępstwo w postępowaniu karnym, a także w zbiegu postępowań karnych z administracyjnymi (szerzej na ten temat: Arkadiusz LACH, Sankcje administracyjne i karne a zakaz podwójnego karania w świetle najnowszego orzecznictwa ETPCz i TS [1]).

 

Ustawodawca krajowy uregulował odpowiedzialność karną za naruszenie przepisów o ochronie danych osobowych w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: UODO). Art. 107 i 108 tejże ustawy statuują odpowiedzialność karną w następujących przypadkach:

  • Przetwarzanie danych osobowych jest niezgodne z prawem (art. 107 ust. 1 in principium UODO).
  • Przetwarzanie danych osobowych odbywa się przez osobę do tego nieuprawnioną (art. 107 ust. 2 in fine UODO).
  • Udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych albo niedostarczanie danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarczanie danych, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej (art. 108 ust. 1 i 2 UODO).

 

Zgodnie z UODO, powyższe występki zagrożone są karami grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch, w przypadku zaś, gdy czyn, określony w art. 107 ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

 

Zgodnie z treścią art. 1 § 1 kodeksu karnego „odpowiedzialności karnej podlega ten tylko, kto popełnia czyn zabroniony pod groźbą kary przez ustawę obowiązującą w czasie jego popełnienia, odpowiedzialność karną za naruszenie przepisów ochrony danych osobowych może ponosić wyłącznie pracownik organizacji, w tym również członek jej kierownictwa.

 

Występki określone w art. 107 UODO należą do kategorii przestępstw powszechnych, mogą one zostać popełnione przez każdą osobę, której można przypisać zdolność do odpowiedzialności karnej, są przestępstwami ściganymi z urzędu, z oskarżenia publicznego.

 

Odpowiedzialności karnej za niedopuszczalne lub niezgodne z prawem przetwarzanie danych podlega ten, kto:

  • Przetwarza dane osobowe.
  • Czyni to w sposób niedopuszczalny w danym stanie faktycznym lub nie posiada uprawnienia do takiego przetwarzania.
  • Przetwarza dane w sposób umyślny.

 

Warto zwrócić w tym miejscu uwagę na fakt, iż przestępstw niezgodnego z prawem lub nieuprawnionego przetwarzania danych można dokonać niezależnie od tego, czy do przetwarzania danych sprawca zobowiązany był do stosowania przepisów RODO czy nie. Przetwarzanie danych osobowych, nawet, jeśli nie mają do niego zastosowania przepisy RODO, wciąż pozostaje przetwarzaniem danych osobowych. Przykładami tego typu przetwarzania jest np. nielegalne wejście sprawcy w posiadanie danych osobowych, nielegalne wykorzystanie przez niego danych osobowych lub ich przetwarzanie w ramach czynności o czysto osobistym lub domowym charakterze, np. gdy zostały pozyskane wskutek pomyłki nadawcy wiadomości, zawierającej takie dane.

 

Obok przestępstw opisanych w UODO, może także dojść do przestępstw przeciwko ochronie informacji, wskazanych w rozdziale XXXIII kodeksu karnego. Pomimo tego, że obie kategorie przestępstw są od siebie niezależne, sprawca jednym działaniem może popełnić przestępstwa określone w kilku przepisach karnych. Może się tak bowiem zdarzyć, że osoba, działając bez uprawnienia  uzyska dostęp do informacji dla niego nieprzeznaczonej, wypełniając swoim działaniem znamiona dwóch przestępstw, tj. art. 267 § 1 kk oraz art. 107 ust. 1 UODO.

 

Zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 RODO, na administratorze (lub na podmiocie przetwarzającym) ciąży obowiązek wykazania zgodności przetwarzania danych z przepisami RODO lub konieczność wykazania, że nie ponosi on winy za wyrządzoną szkodę. Kluczowa, z punktu widzenia RODO, zasada rozliczalności jest faktycznie przeciwieństwem zasady domniemania niewinności, wynikającym z art. 5 § 1 kodeksu karnego (dalej kk). W zakresie odpowiedzialności karnej za niezgodne z prawem przetwarzanie danych osobowych nie pozostaje ona jednak bez wpływu na ewentualną odpowiedzialność karną sprawcy naruszenia.

 

Stosując zasadę rozliczalności można przypisać sprawcy odpowiedzialność karną. Aby udowodnić sprawcy popełnienie przestępstwa, prokurator może wnieść zarzut o niedopuszczalności lub niezgodności z prawem przetwarzania danych osobowych. Milczenie sprawcy działa na w tym przypadku na jego niekorzyść. Jeśli nie potrafi on wykazać (rozliczyć się), iż przetwarza dane osobowe w sposób legalny, przyjmuje się, że albo nie zna on podstawy prawnej przetwarzania danych osobowych albo stara się ją ukryć. A contrario, zasada rozliczalności stanowi więc kluczowy element dla obrony przed podejrzeniem o popełnienie przestępstwa. Dokumentowanie procesów przetwarzania danych osobowych, wskazujących na ich zgodność z prawem okazuje się więc kluczowe dla obrony przez podejrzeniem o popełnienie przestępstwa. Brak takich dowodów może bowiem negatywnie wpłynąć na ocenę działań podejmowanych przez sprawcę.

 

Obok zasady rozliczalności warto także wspomnieć o zasadzie minimalizacji (art. 25 ust. 2 RODO). Organizacje, które stosują łącznie obie powyższe zasady są dużo bardziej odporne na uniknięcie odpowiedzialności karnej za podejrzenie o przetwarzaniu danych osobowych bez uprawnień. Właściwe stosowanie tych zasad pozwala na łatwiejszą identyfikację osób, którym przydzielono konkretny zakres uprawnień do przetwarzania danych osobowych, co pozwala na przypisanie konkretnej odpowiedzialności.

 

Zasada rozliczalności pomaga również wykazać umyślność popełnienia przestępstwa, szczególnie jeżeli sprawca działał w zamiarze ewentualnym. Ten typ zamiaru polega bowiem na tym, że sprawca wie o tym, że jego działanie może być przestępstwem, jednakże godzi się na taką konsekwencję (art. 9 § 1 in fine kk).

 

Podsumowując, brak wdrożenia RODO w organizacji jest z pewnością przesłanką obciążającą jej kierownictwo i może skutkować jego odpowiedzialnością karną. W poprawnie funkcjonującej organizacji łatwo jest wskazać osoby odpowiedzialne za przetwarzanie danych osobowych, a co za tym idzie także osoby odpowiedzialne za popełnienie jednego z opisywanych powyżej przestępstw.  Wdrożenie RODO oraz odpowiednie przeszkolenie osób bezpośrednio odpowiedzialnych za przetwarzanie danych osobowych zwalnia kierownictwo organizacji od poniesienia odpowiedzialności karnej. Osobom upoważnionym do przetwarzania danych osobowych, które dodatkowo przeszły szkolenie RODO trudniej jest bowiem wytłumaczyć się niewiedzą.

[1] https://pk.gov.pl/wp-content/uploads/2017/09/fd6d39319302d20826f35d00015c463b.doc

Webinar: Retencja danych osobowych – problemy praktyczne przy ustalaniu zasad i terminów

POLITYKA RETENCJI DANYCH OSOBOWYCH to ustalone przez organizację zasady przechowywania informacji zarówno na potrzeby operacyjne, jak i zgodności z przepisami.

Czy wiesz jak sformułować PROCEDURY PRZECHOWYWANIA I USUWANIA DANYCH? Jak organizować informacje, aby można było je wyszukać i uzyskać do nich dostęp oraz usuwać informacje, które nie są już potrzebne?

Chcesz skonfrontować rozwiązania swojej organizacji z doświadczeniami innych specjalistów do spraw zgodności z RODO?

A może chcesz skorzystać ze wskazówek udzielonych przez konsultanta uznanej firmy doradczej?

Zapraszamy na webinar poświęcony tematyce skutecznego wdrożenia ZASADY OGRANICZENIA PRZECHOWYWANIA DANYCH.

Spotkanie skierowane jest do osób pełniących rolę Inspektorów Ochrony Danych (IOD) oraz wszystkich osób zainteresowanych COMPLIANCE RODO – niezależnie od branży i wielkości organizacji.


1. Forma przechowywania danych i obowiązek ich usuwania:

  • Zasada ograniczenia przechowywania oraz inne ważne zasady.
  • Zbieranie danych „na zapas” w stanowiskach UODO.
  • Sankcje za naruszenie zasad.


2. Skuteczne polityki i procedury uwzględniające obowiązki usuwania danych:

  • Kluczowa rola inwentaryzacji danych.
  • Przepisy szczególne regulujące obowiązek przetwarzania informacji przez
    z góry ustalony okres.
  • Określanie okresu przydatności danych przy braku przepisów szczególnych.
  • Wstrzymanie biegu terminów retencji.


3. Odpowiednie przypisanie ról i odpowiedzialności pomiędzy funkcjami w organizacji:

  • Przeglądy i alokacja ryzyka.
  • Raportowanie niezgodności.

4. Praktyczne problemy związane z retencją danych:

  • Zautomatyzowany albo manualny charakter usuwania danych
    – wytyczne brytyjskiego organu nadzorczego (ICO).
  • Te same dane – różne terminy retencji.
  • Szara strefa danych osobowych.
  • Precyzyjna mapa danych.
  • Rozwiązania techniczno-organizacyjne.

.

Data: 21.06.2022, godz.10:00.

Link do wydarzenia.

 

Zapraszamy!

Webinar: RODO w branży e-commerce – niezbędnik na rok 2022!

Zapraszamy na webinar firmy działające w branży e-commerce do zapoznania się z niezbędnikiem RODO na 2022 rok. Wiele firm z branży e-commerce zastanawia się czy podejmowane działania są zgodne z RODO, czy ich sklep internetowy ma odpowiedni regulamin lub jakie jest niezbędne minimum zgodności z RODO, które powinien spełniać i co jest najważniejsze. 

 

Podczas naszego webinaru,  przedstawimy Państwu odpowiedzi na poniższe pytania:

1. RODO jako system oparty o analizę ryzyka – co jest najważniejsze?

2. Najczęstsze błędy na przykładach z branży e-commerce:

  • Regulamin strony internetowej
  • Polityka cookies i polityka prywatności
  • Zgody marketingowe
  • Profilowanie

3. Kiedy, jak i czy w Twojej organizacji należy powołać inspektora ochrony danych?

4. Jakie są różnice pomiędzy zadaniami inspektora a koordynatora ds. danych osobowych?

Zapraszamy!

 

Zapisy na wydarzenie odbywają się poprzez platformę Clickmeeting:

>>>Zarejestruj się <<<

e-TOLL, RODO, a monitoring pracowniczy

1 grudnia 2021 r. uległ zmianie pobór opłat na części państwowych odcinkach płatnych dróg w związku z wprowadzeniem systemu e-TOLL. Na odcinkach Konin – Stryków (autostrada A2) i Wrocław – Sośnica (autostrada A4) kierowcy pojazdów nie mają obecnie już możliwości opłacenia przejazdu przy tzw. bramkach. W sytuacji zatem, gdy lokalizacja pracownika będzie podlegała monitoringowi, należy zapewnić przetwarzanie danych osobowych zgodnie z przepisami RODO1 , jak i Kodeksu pracy2 .

System e-TOLL

Czym jest e-TOLL? System e-TOLL opierający się na technologii pozycjonowania satelitarnego zastąpił dotychczasowy viaTOLL, który wykorzystywał technologie komunikacji bliskiego zasięgu (DSRC). Obecnie kierowcy mają możliwość opłacenia przejazdu za pomocą:

  • Urządzenia pokładowego OBU, który wymaga wyposażenia pojazdu w urządzenie pokładowe lub zewnętrznego systemu lokalizacyjnego (ZSL). Dane geolokalizacyjne przesyłane są do systemu e-TOLL za pośrednictwem transmisji danych.
  • Zewnętrznego systemu lokalizacyjnego (ZSL), który wymaga instalacji w pojeździe i aktywacji usługi e-TOLL.
  • Aplikacji mobilnej e-TOLL.
  • Opłacenia przejazdu w punkcie stacjonarnym lub poprzez inne aplikacje mobilne.

Brak uiszczenia opłaty w terminie zagrożone jest karą w wysokości do 500 złotych. Kolejno, oprócz obowiązku uiszczenia opłaty za przejazd, w sytuacji, gdy pracodawca otrzymuje informacje o lokalizacji pracownika, zobowiązany jest do wdrożenia przepisów dotyczących ochrony danych osobowych. Nowy system poboru opłat wiąże zatem wielu pracodawców do uregulowania przedmiotu monitoringu pracowniczego w organizacji w związku z wprowadzeniem systemu e-TOLL.

e-TOLL a ochrona danych osobowych

Zgodnie z art. 4 ust. 1 lit. a) RODO do danych osobowych należy zaliczyć m.in. dane o lokalizacji. W polskim porządku prawnym, krajowy ustawodawca w art. 22[3] Kodeksu pracy określił możliwość stosowania monitoringu wyłącznie w dwóch celach. Do celów tych zalicza się niezbędność przetwarzania do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Niewątpliwie, monitoring lokalizacji pracownika w związku z użytkowaniem przez niego mienia organizacji znajduje się w katalogu celów wskazanych przez ustawodawcę krajowego. Na marginesie należy wskazać, iż podstawę przetwarzania należy każdorazowo określić w dostosowaniu do celu przetwarzania, jak i podmiotu danych.

Niemniej, w związku z monitoringiem wiąże się szereg obowiązków, które zobowiązany jest zrealizować przedsiębiorca. W szczególności należą do nich:

1. Realizacja obowiązku informacyjnego z art. 13 i 14 RODO.

Dla nowych pracowników rekomendowanym jest przekazanie obowiązku informacyjnego uwzględniającego cel przetwarzania związany z monitoringiem na etapie onboardingu. W stosunku zaś do obecnych pracowników, pracodawca również zobowiązany jest do realizacji obowiązku informacyjnego z uwagi na określenie nowego celu przetwarzania. Oznacza to, iż w związku z wprowadzeniem monitoringu, może zachodzić konieczność ponownego realizowania obowiązku informacyjnego, gdy nie dochodzi do wyłączenia określonego w art. 13 i 14 RODO. Jednocześnie należy wskazać, iż Europejska Rada Ochrony Danych w wytycznych 01/2020 wskazuje, iż dozwolonym jest również ograniczenie pisemnej informacji poprzez wprowadzenie na przykład ikon w celu zwiększenia przejrzystości informacji.

2. Poinformowanie pracowników o stosowaniu monitoringu przed przystąpieniem pracownika do pracy lub co najmniej 2 tygodnie przed jego uruchomieniem.

Zgodnie z art. 22[2] Kodeksu pracy, pracodawca zobowiązany jest do poinformowania pracowników o stosowaniu monitoringu w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu. Jednocześnie warto zwrócić uwagę, iż ustawodawca wprowadził obowiązek przekazania informacji na piśmie o celach, zakresie oraz sposobie stosowania monitoringu wobec pracowników, którzy zostaną dopuszczeni do pracy.

3. Pojazd, który jest monitorowany powinien zostać odpowiednio oznakowany.

Kodeks pracy w art. 22[2] wskazuje również obowiązek odpowiedniego oznaczenia pojazdu, który jest objęty monitoringiem. Oznaczenie powinno być widoczne i czytelne. Ustawodawca wprowadził możliwość oznaczenia za pomocą znaków, jak i ogłoszeń dźwiękowych. Dodatkowo, określono, iż termin nie powinien przekraczać jednego dnia przed jego uruchomieniem.

4. Określenie okresu retencji danych osobowych.

Pracodawca jako niezależny administrator danych zobowiązany jest do określenia okresu przetwarzania danych osobowych dotyczących lokalizacji pracownika. Okres ten nie powinien być dłuższy, niż jest to konieczne do celów, dla których dane zostały pobrane lub dla których są przetwarzane.

5. Przeprowadzenie testu DPIA.

Zgodnie z komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony3 , przetwarzanie danych lokalizacyjnych zostało zakwalifikowane jako rodzaj operacji przetwarzania wymagający przeprowadzania oceny skutków dla ochrony danych. Administrator zatem dokonując przetwarzania, został zobligowany przez organ nadzorczy do przeprowadzania dodatkowej analizy. Test DPIA pozwoli administratorowi zweryfikować podatności, jak i wdrożyć odpowiednie środki w celu zmniejszenia wysokiego ryzyka naruszenia praw lub wolności podmiotów danych.

Konkludując, wraz z wprowadzeniem systemu płatności e-TOLL w organizacji, kluczowym jest również właściwa implementacja przepisów dotyczących ochrony danych osobowych. Odpowiednie wprowadzenie monitoringu w przedsiębiorstwie zapewni zgodność z prawem przy jednoczesnym dostosowaniu do nowych możliwości technologicznych.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[2] Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy, Dz. U. z 2020 r., poz. 1320, z 2021 r. poz. 1162

[3] Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (Dz. U. poz. 666)