Przestępstwa przeciwko ochronie danych osobowych - kary i rola adwokata
RODO i dane osobowe · 6 min czytania · Redakcja zaufanyprawnik.pl
Ochrona danych osobowych w Polsce opiera się na dwóch równoległych reżimach odpowiedzialności: administracyjnym (kary pieniężne nakładane przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie RODO) oraz karnym (przestępstwa opisane w ustawie z 10 maja 2018 r. o ochronie danych osobowych oraz w Kodeksie karnym). Adwokat specjalizujący się w tej dziedzinie działa na obu frontach - z jednej strony pomaga firmom zachować zgodność z przepisami i uniknąć kar, z drugiej broni osób i organizacji w postępowaniach przed UODO oraz w sprawach karnych. Ten artykuł wyjaśnia, jakie konkretne czyny są w Polsce przestępstwem przeciwko ochronie danych, jakie grożą za nie kary (administracyjne i karne), jak wygląda postępowanie kontrolne UODO oraz co dokładnie robi prawnik na poszczególnych etapach - od audytu zgodności, przez obsługę naruszenia danych, po reprezentację w sporze. Materiał ma charakter informacyjny i nie zastępuje indywidualnej porady prawnej.
Dwa reżimy odpowiedzialności - administracyjny (RODO) i karny
Warto rozróżnić dwa odrębne tory odpowiedzialności. Pierwszy to odpowiedzialność administracyjna z RODO (ogólne rozporządzenie o ochronie danych, czyli rozporządzenie UE 2016/679). Za naruszenie obowiązków administrator lub podmiot przetwarzający może otrzymać administracyjną karę pieniężną - zgodnie z art. 83 RODO sięgającą do 10 mln euro lub 2% rocznego światowego obrotu, a za poważniejsze naruszenia (m.in. naruszenie podstawowych zasad przetwarzania czy praw osób, których dane dotyczą) do 20 mln euro lub 4% obrotu - w zależności od tego, która kwota jest wyższa. Karę nakłada Prezes UODO. Drugi tor to odpowiedzialność karna - za enumeratywnie wskazane czyny grozi grzywna, ograniczenie wolności lub pozbawienie wolności, a postępowanie prowadzą organy ścigania i sąd karny. Oba reżimy są niezależne: ta sama sytuacja (np. wyciek danych) może skutkować zarówno karą administracyjną dla firmy, jak i odpowiedzialnością karną konkretnej osoby fizycznej. Rolą adwokata jest ocena ryzyka na obu płaszczyznach.
Przestępstwa z ustawy o ochronie danych osobowych - art. 107 i 108
Polska ustawa z 10 maja 2018 r. o ochronie danych osobowych przewiduje dwa typy przestępstw. Art. 107 ust. 1 UODO penalizuje przetwarzanie danych osobowych, gdy przetwarzanie nie jest dopuszczalne albo gdy sprawca nie jest do niego uprawniony - zagrożenie to grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Art. 107 ust. 2 UODO dotyczy danych szczególnych kategorii (tzw. danych wrażliwych z art. 9 RODO, np. o zdrowiu, pochodzeniu, przekonaniach, orientacji, a także danych o wyrokach i czynach z art. 10 RODO) - tu zagrożenie jest surowsze: do lat 3 pozbawienia wolności. Art. 108 UODO penalizuje udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych - zagrożenie to grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. To istotne dla każdego podmiotu kontrolowanego przez UODO: bierne uchylanie się od kontroli lub utrudnianie jej może samo w sobie stanowić przestępstwo.
Przestępstwa z Kodeksu karnego - ochrona informacji i danych
Niezależnie od ustawy o ochronie danych, ochronę informacji - w tym danych osobowych przetwarzanych w systemach informatycznych - zapewnia rozdział XXXIII Kodeksu karnego (przestępstwa przeciwko ochronie informacji). Najważniejsze przepisy to: art. 267 KK (bezprawne uzyskanie dostępu do informacji nieprzeznaczonej dla sprawcy, np. przez przełamanie zabezpieczeń, podłączenie się do sieci czy włamanie do systemu - tzw. hacking; zagrożenie do 2 lat pozbawienia wolności, a za ujawnienie tak uzyskanej informacji surowiej); art. 268 i 268a KK (niszczenie, uszkadzanie, usuwanie lub utrudnianie dostępu do danych, w tym danych informatycznych); art. 269a KK (zakłócanie pracy systemu informatycznego lub sieci) oraz art. 269b KK (bezprawne wytwarzanie i udostępnianie tzw. narzędzi hakerskich). W praktyce wycieki i kradzieże danych osobowych często kwalifikuje się właśnie z tych przepisów - np. pracownik, który nieuprawnienie pobiera bazę klientów, może odpowiadać z art. 267 KK. Adwokat ocenia, który przepis (UODO czy KK) i w jakim zbiegu znajduje zastosowanie do konkretnego stanu faktycznego.
Obowiązek zgłoszenia naruszenia - reguła 72 godzin
Jednym z najczęstszych obszarów, w których firmy potrzebują wsparcia prawnego, jest obsługa naruszenia ochrony danych osobowych. Zgodnie z art. 33 RODO administrator ma obowiązek zgłosić naruszenie organowi nadzorczemu (Prezesowi UODO) bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw lub wolności osób fizycznych. Jeżeli naruszenie może powodować wysokie ryzyko dla osób, których dane dotyczą, administrator musi też - zgodnie z art. 34 RODO - bez zbędnej zwłoki zawiadomić te osoby. Adwokat pomaga na tym etapie podjąć szybkie i prawidłowe decyzje: ocenić, czy zdarzenie jest naruszeniem podlegającym zgłoszeniu, przygotować zgłoszenie do UODO i ewentualne zawiadomienie osób, udokumentować naruszenie w wewnętrznym rejestrze (wymaganym przez art. 33 ust. 5 RODO) oraz przygotować organizację na ewentualne postępowanie kontrolne. Spóźnione lub niezłożone zgłoszenie może samo w sobie być podstawą kary administracyjnej.
Zgodność z RODO - audyt, dokumentacja i obowiązki administratora
Profilaktyka jest tańsza niż kary, dlatego znaczna część pracy prawnika ds. ochrony danych to budowanie zgodności (compliance). Obejmuje to: przeprowadzenie audytu zgodności i oceny ryzyka, identyfikację procesów przetwarzania i podstaw prawnych (art. 6 RODO, a dla danych szczególnych art. 9 RODO), opracowanie i aktualizację dokumentacji - polityki ochrony danych, klauzul informacyjnych (art. 13 i 14 RODO), umów powierzenia przetwarzania (art. 28 RODO), rejestru czynności przetwarzania (art. 30 RODO) oraz, gdy to wymagane, oceny skutków dla ochrony danych (DPIA - art. 35 RODO). Prawnik doradza też w sprawie powołania inspektora ochrony danych (IOD - art. 37 RODO) i obsługi żądań osób korzystających ze swoich praw (dostęp, sprostowanie, usunięcie, ograniczenie, przeniesienie - art. 15-22 RODO). Każdy z tych elementów ma podstawę w konkretnym przepisie rozporządzenia, a ich brak lub wadliwość zwiększa ryzyko zarówno kary administracyjnej, jak i odpowiedzialności cywilnej wobec osób, których dane dotyczą (art. 82 RODO przewiduje prawo do odszkodowania).
Reprezentacja w postępowaniu przed UODO i w sporze
Gdy dochodzi do kontroli lub postępowania, adwokat reprezentuje klienta przed Prezesem UODO i, w razie potrzeby, przed sądem administracyjnym. Postępowanie administracyjne w sprawie naruszenia toczy się według Kodeksu postępowania administracyjnego (z modyfikacjami z ustawy o ochronie danych). Prawnik: przygotowuje wyjaśnienia i odpowiedzi na wezwania UODO, dba o prawidłowy przebieg kontroli (pamiętając, że utrudnianie jej to przestępstwo z art. 108 UODO), kwestionuje ustalenia faktyczne i prawne organu, argumentuje na rzecz obniżenia lub odstąpienia od kary z uwzględnieniem przesłanek z art. 83 ust. 2 RODO (m.in. charakter, waga i czas trwania naruszenia, stopień współpracy z organem, podjęte działania zaradcze). Od decyzji Prezesa UODO przysługuje skarga do Wojewódzkiego Sądu Administracyjnego w Warszawie, a następnie skarga kasacyjna do Naczelnego Sądu Administracyjnego. W sprawach karnych (art. 107-108 UODO lub art. 267 i nast. KK) adwokat występuje jako obrońca, korzystając z gwarancji procesowych: prawa do odmowy wyjaśnień (art. 175 KPK), domniemania niewinności (art. 5 KPK) i prawa do obrońcy (art. 78 KPK).
Jak wybrać prawnika i czego oczekiwać
Wybierając prawnika do spraw ochrony danych, warto zwrócić uwagę na realne doświadczenie w RODO i w postępowaniach przed UODO oraz - przy sprawach z elementem karnym - w prawie karnym dotyczącym ochrony informacji (art. 267 i nast. KK). Dobry specjalista nie tylko reaguje na problemy, ale buduje zgodność z wyprzedzeniem i prowadzi szkolenia podnoszące świadomość pracowników, bo wiele naruszeń wynika z błędu ludzkiego. Należy unikać obietnic 'gwarancji wyniku' - o wysokości kary administracyjnej decyduje Prezes UODO, a w sprawie karnej sąd; żaden rzetelny prawnik nie zagwarantuje rozstrzygnięcia. Honorarium ustala się indywidualnie (audyt i bieżąca obsługa zwykle rozliczane są ryczałtem lub godzinowo, a reprezentacja w sporze - według nakładu pracy). Kluczowe jest, by skontaktować się z prawnikiem jak najwcześniej - przy naruszeniu danych liczy się każda godzina (termin 72 godzin z art. 33 RODO), a przy kontroli UODO wczesne przygotowanie znacząco poprawia pozycję firmy.
Najczęstsze pytania
Jaka kara grozi za nielegalne przetwarzanie danych osobowych w Polsce?
Za przetwarzanie danych, gdy nie jest ono dopuszczalne albo sprawca nie jest do niego uprawniony, art. 107 ust. 1 UODO przewiduje grzywnę, ograniczenie wolności albo pozbawienie wolności do lat 2. Jeżeli chodzi o dane szczególnych kategorii (dane wrażliwe), kara jest surowsza - do lat 3 pozbawienia wolności (art. 107 ust. 2 UODO).
Czym różni się kara administracyjna z RODO od odpowiedzialności karnej?
Kara administracyjna to kara pieniężna nakładana na firmę przez Prezesa UODO na podstawie art. 83 RODO (do 10 mln euro lub 2% obrotu, a za poważniejsze naruszenia do 20 mln euro lub 4% obrotu). Odpowiedzialność karna dotyczy konkretnej osoby fizycznej i kończy się wyrokiem sądu karnego. Oba reżimy są niezależne i mogą wystąpić jednocześnie.
W jakim terminie trzeba zgłosić naruszenie ochrony danych?
Zgodnie z art. 33 RODO administrator zgłasza naruszenie Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości nie później niż w ciągu 72 godzin od jego stwierdzenia - chyba że jest mało prawdopodobne, by naruszenie powodowało ryzyko dla praw i wolności osób. Przy wysokim ryzyku trzeba też zawiadomić osoby, których dane dotyczą (art. 34 RODO).
Czy pracownik, który ukradł bazę danych klientów, popełnia przestępstwo?
Tak, takie działanie może wyczerpywać znamiona kilku przestępstw - m.in. bezprawnego uzyskania dostępu do informacji (art. 267 KK), nielegalnego przetwarzania danych (art. 107 UODO), a niekiedy także naruszenia tajemnicy przedsiębiorstwa. Kwalifikacja zależy od sposobu działania i rodzaju danych; każdy przypadek wymaga indywidualnej oceny prawnej.
Czy utrudnianie kontroli UODO jest karalne?
Tak. Art. 108 UODO penalizuje udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych - grozi za to grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Dlatego podczas kontroli warto współpracować z organem i korzystać z pomocy prawnika.
Czy od decyzji UODO o nałożeniu kary można się odwołać?
Tak. Od decyzji Prezesa UODO przysługuje skarga do Wojewódzkiego Sądu Administracyjnego w Warszawie, a od jego wyroku - skarga kasacyjna do Naczelnego Sądu Administracyjnego. Adwokat może argumentować na rzecz obniżenia lub uchylenia kary, powołując się na przesłanki z art. 83 ust. 2 RODO.
Powiązane poradniki
- Przestępstwa przeciwko ochronie danych osobowych — kary z art. 107 i 108 UODO oraz RODO
- Naruszenie RODO w ochronie zdrowia - rola prawnika i prawa pacjenta
- Nielegalne przetwarzanie danych osobowych – odpowiedzialność i obrona (art. 107 ustawy o ODO)
- Nielegalne przetwarzanie danych biometrycznych – odpowiedzialność i obrona (RODO, art. 107-108 u.o.d.o.)
Podstawa prawna i źródła
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (art. 107, 108)
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (art. 267, 268, 268a, 269a, 269b)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) - art. 30, 33, 34, 35, 82, 83
- Urząd Ochrony Danych Osobowych (UODO) - organ nadzorczy
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę