Odpowiedzialność karna za naruszenia ochrony danych osobowych.


Jeśli administrator danych niewłaściwie zabezpiecza dane osobowe, np. umożliwia dostęp do nich osobom nieupoważnionym, musi liczyć się z odpowiedzialnością karną. Sprawdź, jaka odpowiedzialność i za jakie konkretne przewinienia, może grozić administratorowi danych.

Pamiętaj !

Wszystkie czyny zabronione, z którymi ustawa o ochronie danych osobowych wiąże odpowiedzialność karną, są przestępstwami, które według Kodeksu karnego stanowią tak zwany występek.

Zostały one wskazane w rozdziale 8 ustawy o ochronie danych osobowych. Działania niezgodne z ustawą mogą narazić administratora danych czy pracownika, w zależności od charakteru działania/zaniechania, oprócz odpowiedzialności karnej na odpowiedzialność administracyjną, odszkodowawczą lub dyscyplinarną.

Jakie kary grożą administratorowi danych?

Przestępstwa z art. 49–54a ustawy o ochronie danych osobowych są ścigane z urzędu, z oskarżenia publicznego, co oznacza, że wola pokrzywdzonego nie jest istotna dla działania organów wymiaru sprawiedliwości. W dobie masowego przetwarzania danych przez niezliczone grono podmiotów o przestępstwo choćby nieumyślne jest bardzo łatwo. Skazany na mocy ustawy będzie figurował w Krajowym Rejestrze Karnym. Może to bardzo skomplikować sytuację zarówno zawodową, jak i osobistą (np. przedsiębiorcy). Kodeks karny dla niżej opisanych przestępstw przewiduje 5-letni okres przedawnienia – ustania karalności – liczony od daty popełnienia występku.

Dolegliwość samych kar przewidziana w ustawie jest zróżnicowana:

  • od kary grzywny,
  • poprzez karę ograniczenia wolności,
  • na karze pozbawienia wolności kończąc, w wymiarze od jednego roku do trzech lat (maksymalna kara przewidziana jest za przestępstwo na danych wrażliwych).

Wyjaśnienia wymaga kwestia kary grzywny. W powszechnej opinii może być ona bardzo wysoka i nałożona przez Generalnego Inspektora Ochrony Danych Osobowych. Za taki stan rzeczy odpowiadają – nie tylko – ale przede wszystkim nieuczciwi przedsiębiorcy oferujący odpłatne usługi z zakresu ochrony danych osobowych i rozpowszechniający tego typu nieprawdziwe informacje zawarte przy okazji oferowania swoich usług w Internecie.

Uwaga!

Kary przewidziane za przestępstwa w ustawie o ochronie danych osobowych może wymierzyć jedynie sąd.

GIODO może nałożyć grzywnę tylko i wyłącznie w celu wyegzekwowania na zobowiązanym wykonanie decyzji administracyjnej. Innymi słowy, GIODO decyzją administracyjną nakazuje stronie postępowania konkretne działanie. W przypadku niezastosowania się strony do tak nałożonego obowiązku może doprowadzić do nałożenia grzywny w trybie przepisów o postępowaniu egzekucyjnym w administracji. Nie ma to jednak żadnego związku z karą grzywny za przestępstwo, do której nałożenia upoważniony jest jedynie sąd.

Za jakie działania grozi odpowiedzialność karna?

1. Bezprawne przetwarzanie danych osobowych

Przestępstwo umyślne określone w art. 49 ust. 1 ustawy o ochronie danych osobowych w brzmieniu „kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne, albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” wskazuje na dwie zasadnicze cechy. Pierwszą z nich jest konieczność przetwarzania danych w zbiorze (ustawowa definicja zbioru znajduje się w art. 7 ustawy). Drugą cechą jest „niedopuszczalność przetwarzania” albo „dopuszczalność, ale przez kogoś nieuprawnionego”. Żeby stwierdzić, czy przetwarzanie jest w ogóle dopuszczalne, należy dokonać kolejnego odesłania do ustawy, tj. do art. 23, który wymienia pięć przesłanek niezależnych dopuszczających przetwarzanie. Zasadniczo legitymowanie się jedną z nich przez administratora jest wystarczające do stwierdzenia dopuszczalności przetwarzania. Jeśli przetwarzamy dane wrażliwe, to pomimo ogólnego zakazu przetwarzania danych art. 27 wskazuje na katalog przesłanek dopuszczających.

Osobą nieuprawnioną do przetwarzania będzie ktoś, kto nie ma stosownego upoważnienia nadanego przez administratora do przetwarzania danych w tym konkretnym zbiorze. Kwalifikowaną postać przestępstwa zagrożoną karą do trzech lat pozbawienia wolności mają wyżej wymienione czyny na danych wrażliwych.

2. Umożliwienie dostępu osobom nieupoważnionym

Zgodnie z przepisami każdy, kto administrując zbiorem danych lub będąc obowiązanym do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (art. 51 ustawy o ochronie danych osobowych).
Przestępstwo to ma charakter indywidualny, czyli może je popełnić ktoś, kto administruje zbiorem lub osoba zobowiązana do ochrony zbioru danych. Taką osobą może być ktoś upoważniony do przetwarzania, ale również może to być pracownik firmy ochroniarskiej, który nie ma dostępu jako takiego do samych danych osobowych, ale jest odpowiedzialny za fizyczną ochronę pomieszczenia, w którym znajdują się dokumenty czy nośniki elektroniczne z danymi osobowymi. Na równi traktowane jest tu udostępnienie danych z samym umożliwieniem dostępu osobom nieupoważnionym. Ustawodawca zadecydował, że sprawca tych czynów mógłby działać czy zaniechać pewnych działań nieumyślnie, z czym wiąże mniej dotkliwe konsekwencje karne (maksymalnie do roku pozbawienia wolności).

3. Brak zabezpieczenia danych osobowych

Jak wskazuje ustawa „Kto administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku” (art. 52 ustawy o ochronie danych osobowych). Sprawca (wyłącznie administrujący danymi) może dokonać tego przestępstwa poprzez samo zaniechanie. Przepis ten koresponduje głównie z art. 36 ust. 1, który zobowiązuje administratora danych do takiego zabezpieczenia organizacyjnego i technicznego danych osobowych, aby uniemożliwić wystąpienie powyższych okoliczności.

4. Niezarejestrowanie zbiorów danych osobowych u GIODO

Przestępstwa związanego z niedopełnieniem obowiązku rejestracyjnego administrujący zbiorem może dopuścić się poprzez niedopełnienie obowiązków (zaniechanie). „Kto będąc do tego obowiązany, nie zgłasza do rejestru zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku” (art. 53 ustawy o ochronie danych osobowych). Przepis ten ma na celu napiętnowanie działań administratora danych godzących w prawa osób, których dane dotyczą, w tym do kontroli legalności przetwarzania ich danych. Rozdział 6 ustawy poświęcony rejestracji zbiorów określa, kto i jakie zbiory musi zgłosić do rejestracji oraz kiedy nie trzeba spełniać tego obowiązku.

5. Niespełnienie obowiązku informacyjnego

Kto administrując zbiorem danych, nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w ustawie o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Treść zacytowanego wyżej art. 54 odnosi się do występku polegającego na niedopełnieniu przez administratora danych obowiązku informacyjnego względem osób, których dane przetwarza. Administrator danych powinien powiadomić je o adresie swojej siedziby, celu zbierania danych, prawie dostępu i źródle danych. Przestępstwo to odnosi się też do nierespektowania prawa do informacji, której żąda od administratora osoba fizyczna względem swoich danych przetwarzanych w zbiorze.

6. Utrudnianie kontroli inspektora GIODO

Ostatnim przepisem karnym i zarazem najpóźniej wprowadzonym do ustawy jest art. 54a. „Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”. Potrzeba wprowadzenia tego przepisu dojrzewała wraz z doświadczeniem inspekcyjnym kontrolerów biura GIODO, którzy, wykonując swoją pracę, napotykali na działania ze strony administratorów danych lub ich pracowników zmierzające do uniemożliwienia czy utrudnienia sprawnego przeprowadzenia kontroli.