Nielegalne przetwarzanie i handel danymi osobowymi – kary i odpowiedzialność
RODO i dane osobowe · 6 min czytania · Redakcja zaufanyprawnik.pl
Nielegalne przetwarzanie danych osobowych i handel nimi to jedne z najpoważniejszych naruszeń ochrony prywatności – pociągają za sobą trzy odrębne reżimy odpowiedzialności: administracyjny (kary nakładane przez Prezesa UODO na podstawie RODO), karny (przestępstwa z art. 107 i 108 polskiej ustawy o ochronie danych osobowych z 2018 r.) oraz cywilny (odszkodowanie i zadośćuczynienie dla osoby, której dane dotyczą). W praktyce naruszenia te przybierają bardzo różną postać: od pracownika, który z ciekawości przegląda w systemie dane klientów, przez firmę sprzedającą bazę adresów e-mail bez zgody, po wyciek danych spowodowany brakiem zabezpieczeń. Poniżej wyjaśniamy, jakie konkretnie kary grożą, na jakiej podstawie prawnej, kiedy mówimy o przestępstwie, a kiedy o naruszeniu administracyjnym, oraz jak ograniczyć ryzyko – zarówno jako administrator danych, jak i osoba, której dane zostały bezprawnie wykorzystane.
Czym jest nielegalne przetwarzanie danych osobowych
Przetwarzanie danych osobowych jest legalne tylko wtedy, gdy opiera się na jednej z sześciu podstaw prawnych wskazanych w art. 6 ust. 1 RODO: zgoda osoby, wykonanie umowy, obowiązek prawny administratora, ochrona żywotnych interesów, zadanie realizowane w interesie publicznym albo prawnie uzasadniony interes administratora. Jeżeli żadna z tych podstaw nie zachodzi, przetwarzanie jest bezprawne. Szczególnie chronione są tzw. dane wrażliwe (szczególne kategorie danych) z art. 9 RODO – m.in. dane o stanie zdrowia, pochodzeniu etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności związkowej, dane genetyczne, biometryczne oraz dotyczące orientacji seksualnej. Ich przetwarzanie jest co do zasady zakazane i dopuszczalne tylko w wąsko określonych wyjątkach, najczęściej za wyraźną zgodą. Nielegalne przetwarzanie to także zbieranie danych w celu niezgodnym z pierwotnym, przechowywanie ich dłużej niż to konieczne czy udostępnianie osobom nieuprawnionym.
Kary administracyjne RODO – do 20 mln euro lub 4% obrotu
Najgłośniejszy element systemu sankcji to administracyjne kary pieniężne nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) na podstawie art. 83 RODO. Za cięższe naruszenia – m.in. przetwarzanie bez podstawy prawnej, naruszenie zasad przetwarzania czy praw osób, których dane dotyczą – kara może sięgnąć 20 mln euro, a w przypadku przedsiębiorstwa do 4% całkowitego rocznego światowego obrotu z poprzedniego roku, przy czym stosuje się kwotę wyższą. Za naruszenia uznane za lżejsze (np. obowiązków administratora i podmiotu przetwarzającego) górny pułap wynosi 10 mln euro lub 2% obrotu. Kara musi być w każdym przypadku skuteczna, proporcjonalna i odstraszająca; UODO przy jej wymiarze bierze pod uwagę m.in. wagę i czas trwania naruszenia, jego umyślność, kategorie danych, współpracę z organem oraz wcześniejsze naruszenia. Dla podmiotów publicznych polska ustawa przewiduje odrębny, niższy limit (do 100 tys. zł).
Odpowiedzialność karna – art. 107 ustawy o ochronie danych osobowych
Niezależnie od kar administracyjnych nielegalne przetwarzanie danych może być przestępstwem. Zgodnie z art. 107 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli czyn dotyczy danych wrażliwych (szczególnych kategorii z art. 9 RODO lub danych dotyczących wyroków skazujących z art. 10 RODO), zagrożenie jest surowsze – do 3 lat pozbawienia wolności (art. 107 ust. 2). Drugim przestępstwem jest udaremnianie lub utrudnianie kontroli przestrzegania przepisów (art. 108 ustawy), zagrożone grzywną, ograniczeniem wolności albo pozbawieniem wolności do 2 lat. Uwaga: górne pułapy z art. 107 to maksimum 2 lub 3 lata, a nie – jak czasem błędnie podaje się w sieci – jednolicie 3 lata. Ściganie odbywa się z urzędu (przestępstwo publicznoskargowe), a sprawcą może być każda osoba fizyczna, nie tylko przedsiębiorca.
Umyślność i świadomość – kiedy w grę wchodzi przestępstwo
Przestępstwa z art. 107 ustawy są przestępstwami umyślnymi – wymagają zamiaru bezpośredniego albo ewentualnego. Oznacza to, że przypadkowe, jednorazowe wyświetlenie cudzych danych, błąd techniczny czy nieświadome naruszenie zwykle nie wyczerpuje znamion przestępstwa, choć może rodzić odpowiedzialność administracyjną lub cywilną. Inaczej jest, gdy ktoś świadomie pobiera bazę klientów, by ją sprzedać, albo bez podstawy prawnej udostępnia komuś dane – wtedy realna staje się odpowiedzialność karna. W praktyce granica między pomyłką a przestępstwem przebiega właśnie przez świadomość bezprawności i wolę działania. To kluczowy punkt zarówno dla obrony osoby, której postawiono zarzut (wykazanie braku zamiaru), jak i dla oceny ryzyka po stronie administratora, który powinien wdrożyć procedury ograniczające możliwość świadomych nadużyć przez pracowników.
Handel danymi i nieuprawnione udostępnianie – typowe naruszenia
Najczęstsze postacie bezprawnego obrotu danymi to: sprzedaż lub przekazanie bazy danych (np. adresów e-mail, numerów telefonów) bez zgody osób i bez innej podstawy prawnej; kopiowanie danych klientów przez odchodzącego pracownika do prywatnego użytku lub na rzecz nowego pracodawcy; działalność niektórych brokerów danych skupujących i odsprzedających informacje o konsumentach z naruszeniem zasad RODO; nieuprawniony dostęp pracowniczy, czyli przeglądanie wrażliwych danych (np. dokumentacji medycznej, danych finansowych) bez związku z obowiązkami służbowymi. Każde z tych działań może jednocześnie naruszać RODO (kara administracyjna), wyczerpywać znamiona przestępstwa z art. 107 ustawy oraz uzasadniać roszczenia cywilne poszkodowanych. Warto pamiętać, że odpowiedzialność ponosi nie tylko ten, kto dane sprzedał, ale i ten, kto je świadomie nabył i dalej przetwarza bez podstawy prawnej.
Rola Prezesa UODO i jak złożyć skargę
Organem nadzorczym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Dysponuje on szerokimi uprawnieniami: prowadzi kontrole i postępowania, może żądać dostępu do dokumentów i systemów, nakazać dostosowanie przetwarzania do przepisów, wprowadzić czasowe lub całkowite ograniczenie przetwarzania, a w ostateczności nałożyć karę administracyjną. Osoba, której dane dotyczą, ma prawo wnieść skargę do Prezesa UODO, jeżeli uważa, że jej dane przetwarzane są niezgodnie z prawem (art. 77 RODO). Skarga jest bezpłatna, można ją złożyć pisemnie, elektronicznie przez ePUAP lub e-Doręczenia. Jeżeli zachodzi podejrzenie przestępstwa z art. 107 ustawy, sprawę można zgłosić również organom ścigania (Policja, prokuratura) – Prezes UODO sam także zawiadamia prokuraturę o wykrytych przestępstwach. Warto dołączyć do skargi dowody: korespondencję, zrzuty ekranu, informację, skąd dany podmiot pozyskał nasze dane.
Roszczenia cywilne osoby poszkodowanej
Naruszenie ochrony danych daje osobie poszkodowanej własną drogę dochodzenia roszczeń przed sądem cywilnym. Zgodnie z art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo do odszkodowania od administratora lub podmiotu przetwarzającego. Co istotne, można dochodzić nie tylko strat finansowych, ale i zadośćuczynienia za szkodę niemajątkową – np. stres, utratę kontroli nad danymi, naruszenie prywatności. Roszczenia te są niezależne od kary administracyjnej i od postępowania karnego – ukaranie firmy przez UODO nie zamyka drogi do pozwu, a wręcz może go ułatwić. Dodatkowo, bezprawne ujawnienie danych godzące w dobra osobiste (prywatność) pozwala korzystać z ochrony z art. 23 i 24 Kodeksu cywilnego. Przy poważniejszych naruszeniach warto skonsultować się z prawnikiem, który oceni wysokość możliwego roszczenia i zgromadzi dowody na rozmiar szkody.
Jak ograniczyć ryzyko – obowiązki administratora
Po stronie firm i instytucji kluczowa jest realna zgodność z RODO, a nie tylko formalna dokumentacja. W praktyce oznacza to: ustalenie i udokumentowanie podstawy prawnej dla każdego procesu przetwarzania (rejestr czynności przetwarzania – art. 30 RODO); wdrożenie adekwatnych środków technicznych i organizacyjnych (art. 32 RODO) – szyfrowanie, kontrola dostępu oparta na zasadzie minimalnych uprawnień, logowanie operacji, kopie zapasowe; cykliczne szkolenia pracowników i jasne procedury, kto i do jakich danych ma dostęp; powołanie inspektora ochrony danych tam, gdzie wymaga tego art. 37 RODO; oraz procedurę reagowania na naruszenia, w tym zgłoszenie do UODO w ciągu 72 godzin (art. 33 RODO) i – gdy ryzyko jest wysokie – zawiadomienie osób, których dane dotyczą (art. 34 RODO). Dobrze udokumentowana zgodność realnie obniża wymiar ewentualnej kary administracyjnej i bywa najlepszą linią obrony.
Najczęstsze pytania
Jaka kara grozi za sprzedaż bazy danych osobowych bez zgody?
Taki czyn może być przestępstwem z art. 107 ust. 1 ustawy o ochronie danych osobowych, zagrożonym grzywną, karą ograniczenia wolności albo pozbawienia wolności do 2 lat (a do 3 lat, jeśli dotyczy danych wrażliwych z art. 9 lub 10 RODO). Niezależnie firmie grozi kara administracyjna od UODO (do 20 mln euro lub 4% obrotu), a osobom poszkodowanym przysługuje odszkodowanie na podstawie art. 82 RODO.
Czy pracownik, który z ciekawości zajrzał do danych klienta, popełnia przestępstwo?
Jeżeli zrobił to świadomie, bez podstawy prawnej i bez związku z obowiązkami służbowymi, może odpowiadać z art. 107 ustawy o ochronie danych osobowych (przetwarzanie bez uprawnienia). Przestępstwo jest umyślne, więc kluczowa jest świadomość bezprawności. Niezależnie od odpowiedzialności karnej pracownik naraża się na konsekwencje dyscyplinarne, a pracodawca – na karę administracyjną za brak właściwych zabezpieczeń.
Czym różni się kara administracyjna RODO od odpowiedzialności karnej?
Kara administracyjna (do 20 mln euro lub 4% obrotu) jest nakładana przez Prezesa UODO na administratora lub podmiot przetwarzający w postępowaniu administracyjnym. Odpowiedzialność karna to grzywna, ograniczenie wolności lub więzienie orzekane przez sąd karny wobec konkretnej osoby fizycznej na podstawie art. 107–108 ustawy. Oba reżimy są niezależne i mogą wystąpić jednocześnie obok roszczeń cywilnych.
Gdzie i jak zgłosić nielegalne wykorzystanie moich danych osobowych?
Skargę można bezpłatnie wnieść do Prezesa Urzędu Ochrony Danych Osobowych (pisemnie, przez ePUAP lub e-Doręczenia) na podstawie art. 77 RODO. Jeśli podejrzewasz przestępstwo, możesz zawiadomić Policję lub prokuraturę. Warto dołączyć dowody: korespondencję, zrzuty ekranu i informację, skąd podmiot pozyskał Twoje dane. Równolegle możesz dochodzić odszkodowania przed sądem cywilnym.
Czy mogę żądać odszkodowania za wyciek lub bezprawne udostępnienie moich danych?
Tak. Art. 82 RODO daje prawo do odszkodowania za szkodę majątkową oraz niemajątkową (np. stres, utrata kontroli nad danymi) od administratora lub podmiotu przetwarzającego. Roszczenie jest niezależne od kary nałożonej przez UODO. Przy naruszeniu dóbr osobistych można też korzystać z art. 23 i 24 Kodeksu cywilnego. Wysokość zadośćuczynienia ocenia sąd na podstawie rozmiaru i skutków naruszenia.
Jakie dane są szczególnie chronione i grożą za nie wyższe kary?
To tzw. dane wrażliwe z art. 9 RODO: o stanie zdrowia, pochodzeniu etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności związkowej, dane genetyczne, biometryczne i dotyczące orientacji seksualnej, a także dane o wyrokach skazujących (art. 10 RODO). Ich bezprawne przetwarzanie zagrożone jest karą do 3 lat pozbawienia wolności (art. 107 ust. 2 ustawy) i bywa traktowane jako poważniejsze naruszenie przy karze administracyjnej.
Powiązane poradniki
- Wyciek danych osobowych - obowiązki, kary RODO i obrona prawna w Polsce
- Nielegalne przetwarzanie danych osobowych – odpowiedzialność i obrona (art. 107 ustawy o ODO)
- Nielegalne przetwarzanie danych osobowych – jakie masz prawa i kiedy grozi odpowiedzialność karna
- Naruszenie ochrony danych osobowych w internecie - prawa, skargi i odszkodowanie (RODO)
Podstawa prawna i źródła
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (art. 107 i 108 – przepisy karne)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – art. 6, 9, 82, 83
- Urząd Ochrony Danych Osobowych – jak złożyć skargę i kary za naruszenia
- Ustawa z dnia 23 kwietnia 1964 r. – Kodeks cywilny (ochrona dóbr osobistych – art. 23 i 24)
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę