Kontakt
Aleksander Adamus

radca prawny
Phone: +48 12 428 61 34
E-Mail

Źródła odpowiedzialności karnej

Przepisy RODO nie przewidują wprost odpowiedzialności karnej za przetwarzanie danych osobowych niezgodnie z regulacjami rozporządzenia. Głównym narzędziem sankcyjnym w RODO są administracyjne kary pieniężne. Nie ma także obowiązku, aby państwa członkowskie UE wprowadzały do swoich porządków prawnych odpowiedzialność karną za niezgodne z prawem przetwarzanie danych osobowych.

Zgodnie jednak z motywem 149 Preambuły do RODO państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie niniejszego rozporządzenia, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach. Ponadto, zgodnie z art. 84 ust. 1 RODO państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia nrozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83 oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.

Powyższe oznacza, iż państwa członkowskie mogły według własnego uznania wprowadzić odpowiedzialność karną za nielegalne przetwarzanie danych osobowych. Z tej możliwości skorzystał polski ustawodawca, wprowadzając w ustawie o ochronie danych osobowych także przepisy karne (ustawa z 10 maja 2018 r.,(Dz.U. z 2018 r. poz. 1000).

Typologia czynów zabronionych

W polskiej ustawie o ochronie danych osobowych  (UODO) znajdują się dwa przepisy penalizujące niektóre zachowania ze sfery przetwarzania danych osobowych.

Zgodnie z art. 107 ust. 1 UODO, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo nie jest uprawniony do ich przetwarzania, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Ustęp drugi art. 107 penalizuje niedopuszczalne/nieuprawnione przetwarzanie danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej (tzw. szczególne kategorie danych w rozumieniu art. 9 ust. 1 RODO). Za popełnienie tego przestępstwa grozić może grzywna, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Przestępstwo z art. 107 UODO ma charakter powszechny (może je popełnić każdy) i formalny (odpowiedzialność karna nie zależy od wystąpienia skutku). 

Ustawodawca zdecydował się także na penalizację udaremniania lub utrudniania prowadzenia kontroli. Zgodnie z art. 108 UODO, kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Przestępstwo z art. 108 UODO ma charakter powszechny (może je popełnić każdy) i materialny (odpowiedzialność karna zależy od wystąpienia skutku w postaci udaremnienia lub utrudnienia prowadzenia kontroli).

Odpowiedzialność karna – obok kar pieniężnych

 Reżim odpowiedzialności karnej na podstawie ustawy funkcjonuje obok administracyjnych kar pieniężnych przewidzianych RODO. Odpowiedzialność karna nie zastępuje kar pieniężnych, lecz istnieje równolegle, jako inny systemowo rodzaj odpowiedzialności z odmiennymi przesłankami.

W odniesieniu do przepisów karnych przy ocenie odpowiedzialności należy przeanalizować cały wachlarz przesłanek odpowiedzialności karnej oraz zasadę subsydiarności prawa karnego. Prowadzi to do przypuszczenia, że przepisy art. 107 i 108 UODO będą stosowane jedynie do poważniejszych przypadków naruszenia zasad postępowania z danymi osobowymi oraz kontroli.

W odniesieniu do sankcji administracyjnych przesłanki odpowiedzialności kształtują się odmiennie i zostały określone w art. 83 ust. 2 RODO. Zgodnie z tym przepisem w każdym indywidualnym przypadku zwraca się należytą uwagę na:

  • charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
  • umyślny lub nieumyślny charakter naruszenia,
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych przez nich wdrożonych,
  • wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego, 
  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
  • kategorie danych osobowych, których dotyczyło naruszenie,
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie,
  • jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy zostały wcześniej zastosowane w tej samej sprawie środki naprawcze – przestrzeganie tych środków, 
  • stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji oraz
  • wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Uzasadnione wątpliwości budzi kwestia stosowania powyższych przepisów w praktyce. Warto przypomnieć, że obowiązująca uprzednio polska ustawa o ochronie z danych osobowych z 1997 r. zawierała szerszy katalog czynów zabronionych pod groźbą kary, niż ustawa z 2018 r. Przepisy te były jednakże bardzo rzadko stosowane, niezależnie od negatywnej praktyki straszenia nimi przedsiębiorców przez podmioty komercyjne. Rozsądnym było zatem ograniczenie przez ustawodawcę zakresu przedmiotowego odpowiedzialności karnej. Wprowadzenie przepisów karnych do ustawy należy ocenić co do zasady pozytywnie, i  liczyć na racjonalną praktykę i wykładnię tychże norm przez organy ścigania i sądy.

W przypadku gdyby byli Państwo zainteresowani naszą pomocą w przeanalizowaniu praktyk stosowanych w Państwa przedsiębiorstwie oraz dokumentacji dotyczącej ochrony danych osobowych pod kątem ich zgodności z obecnymi, a także nadchodzącymi regulacjami, służymy wsparciem i doradztwem prawnym. Nasi adwokaci jak i radcowie prawni oferują doradztwo prawne także w innych dziedzinach. Są dostępni dla Państwa w biurach Rödl & Partner: Gdańsk, Gliwice, Kraków, Poznań, Warszawa, Wrocław.

Aleksander Adamus

22.01.2019