Niedopuszczalne przetwarzanie danych — odpowiedzialność karna i obrona (art. 107 UODO)

Przetwarzanie danych osobowych bez podstawy prawnej może skutkować nie tylko karą administracyjną nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych, ale również odpowiedzialnością karną osoby fizycznej. Polski ustawodawca uznał, że niektóre naruszenia są na tyle poważne, że wymagają sankcji karnej — przewiduje to art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. W praktyce oznacza to, że za bezprawne przetwarzanie danych pracownik, członek zarządu, podwykonawca albo osoba prywatna może odpowiadać przed sądem karnym, niezależnie od kar pieniężnych grożących administratorowi danych. W tym artykule wyjaśniamy, kiedy powstaje ta odpowiedzialność, jakie kary realnie grożą oraz jakie elementy decydują o skutecznej obronie. Wyjaśniamy też ważne rozróżnienie: czym innym są dane osobowe, a czym innym informacje niejawne (tajne), które podlegają odrębnemu reżimowi karnemu z Kodeksu karnego.

Podstawa prawna: art. 107 ustawy o ochronie danych osobowych

Sankcję karną za bezprawne przetwarzanie danych osobowych przewiduje art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z art. 107 ust. 1, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do którego przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Surowszą sankcję przewiduje art. 107 ust. 2 — jeżeli czyn dotyczy danych szczególnych kategorii (tzw. danych wrażliwych, np. o zdrowiu, pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych, danych genetycznych, biometrycznych lub o seksualności) albo danych dotyczących wyroków skazujących i czynów zabronionych — sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech. To przestępstwo ścigane jest z urzędu. Materialnoprawną oceną legalności samego przetwarzania zajmuje się natomiast RODO (rozporządzenie 2016/679) — art. 6 określa przesłanki dopuszczalności przetwarzania, a art. 9 odnosi się do danych szczególnych kategorii.

Kiedy przetwarzanie jest 'niedopuszczalne' — przesłanki z art. 6 i 9 RODO

Sednem sprawy karnej jest ustalenie, czy istniała ważna podstawa prawna przetwarzania. RODO wymienia w art. 6 ust. 1 sześć przesłanek legalności: zgoda osoby, wykonanie umowy, obowiązek prawny ciążący na administratorze, ochrona żywotnych interesów, wykonanie zadania w interesie publicznym oraz prawnie uzasadniony interes administratora. Brak którejkolwiek z tych podstaw oznacza, że przetwarzanie jest 'niedopuszczalne' w rozumieniu art. 107 ust. 1 UODO. Dla danych wrażliwych obowiązuje surowszy reżim z art. 9 RODO — co do zasady ich przetwarzanie jest zakazane, chyba że zachodzi jeden z wyjątków (m.in. wyraźna zgoda, przepisy prawa pracy i zabezpieczenia społecznego, dochodzenie roszczeń). W praktyce typowe scenariusze rodzące odpowiedzialność to: dalsze przetwarzanie po cofnięciu zgody, kopiowanie bazy klientów na prywatny dysk przed odejściem z firmy, przekazanie danych konkurencji albo wgląd pracownika w dane spoza zakresu jego obowiązków.

Kto może odpowiadać karnie

Odpowiedzialność karna z art. 107 UODO jest odpowiedzialnością osoby fizycznej, a nie samego podmiotu (administratora). Może objąć szeroki krąg osób: pracownika, który przekroczył nadane mu upoważnienie do przetwarzania; członka zarządu lub kierownika, który polecił bezprawne działanie; podwykonawcę (podmiot przetwarzający) działającego wbrew umowie powierzenia z art. 28 RODO; a także osobę prywatną, która bezprawnie wykorzystała cudze dane. Ważne, że nadanie upoważnienia do przetwarzania (art. 29 RODO) i prowadzenie ewidencji upoważnień nie tylko porządkuje role w organizacji, ale stanowi też istotny dowód w razie sporu. Dla zarządzających kluczowe jest precyzyjne rozgraniczenie kompetencji, by ewentualna odpowiedzialność nie 'rozlewała się' na osoby, które działały zgodnie z procedurą.

Strona podmiotowa: czy potrzebny jest zamiar

To jeden z najważniejszych punktów obrony. Przestępstwo z art. 107 UODO jest przestępstwem umyślnym — zgodnie z art. 8 i art. 9 Kodeksu karnego do przypisania sprawstwa konieczny jest zamiar (bezpośredni lub ewentualny). Oznacza to, że sprawca musi obejmować świadomością, iż przetwarza dane bezprawnie lub bez uprawnienia, względnie przewidywać taką możliwość i godzić się na nią. Działanie nieumyślne — wynikające z błędu, niedopatrzenia organizacyjnego czy braku wiedzy o cofnięciu zgody — co do zasady nie wypełnia znamion tego czynu. W obronie często podnosi się błąd co do okoliczności wyłączający umyślność (art. 28 KK) albo działanie w usprawiedliwionym przekonaniu o istnieniu podstawy prawnej. To istotnie odróżnia odpowiedzialność karną od administracyjnej, gdzie kara pieniężna z RODO może zostać nałożona także za naruszenia nieumyślne.

Dwie ścieżki odpowiedzialności: karna i administracyjna

Naruszenie ochrony danych może uruchomić równolegle dwa tory. Tor administracyjny prowadzi Prezes UODO, który może nałożyć administracyjną karę pieniężną na podstawie art. 83 RODO — do 20 mln euro lub do 4% rocznego światowego obrotu przedsiębiorstwa (kwota wyższa). Adresatem tej kary jest zwykle administrator lub podmiot przetwarzający, a nie konkretny pracownik. Tor karny dotyczy odpowiedzialności osobistej osoby fizycznej za przestępstwo z art. 107 UODO i kończy się wyrokiem sądu karnego. Niezależnie od obu, poszkodowany może dochodzić roszczeń cywilnych — art. 82 RODO przewiduje prawo do odszkodowania za szkodę majątkową i niemajątkową, a podstawą może być też art. 24 i 448 (obecnie art. 448 w zw. z art. 24) Kodeksu cywilnego dotyczący ochrony dóbr osobistych. W realnej sprawie warto od początku rozdzielać te wątki, bo każdy ma inny przedmiot dowodzenia.

Linia obrony — co realnie działa

Skuteczna obrona zaczyna się od rekonstrukcji podstawy prawnej przetwarzania. Po pierwsze, należy wykazać, że istniała przesłanka z art. 6 (lub art. 9) RODO — np. ważna zgoda, umowa, obowiązek ustawowy. Po drugie, kwestionuje się stronę podmiotową: brak zamiaru, działanie w granicach upoważnienia, błąd co do faktu. Po trzecie, dowodzi się dochowania należytej staranności — istnienia polityk ochrony danych, rejestru czynności przetwarzania (art. 30 RODO), umów powierzenia, szkoleń i upoważnień. Dokumentacja zgodności jest tu najsilniejszym argumentem: pokazuje, że osoba działała w zorganizowanym, kontrolowanym środowisku. Praktyczne kroki dla oskarżonego: zabezpieczyć całą korespondencję i logi dostępu, zgromadzić upoważnienia i regulaminy, ustalić moment ewentualnego cofnięcia zgody oraz skonsultować się z obrońcą przed pierwszym przesłuchaniem.

Dane niejawne (tajne) to odrębny reżim karny

Tytuł sprawy nawiązuje do 'danych niejawnych', dlatego trzeba wyraźnie odróżnić dwa porządki prawne. Dane osobowe chroni RODO i UODO (sankcja karna w art. 107). Informacje niejawne — czyli oznaczone klauzulami 'zastrzeżone', 'poufne', 'tajne', 'ściśle tajne' — podlegają ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych. Ich bezprawne ujawnienie lub wykorzystanie jest przestępstwem z Kodeksu karnego: art. 265 KK (ujawnienie lub wykorzystanie informacji niejawnych o klauzuli 'tajne' lub 'ściśle tajne' — kara pozbawienia wolności od 3 miesięcy do 5 lat) oraz art. 266 KK (naruszenie tajemnicy zawodowej lub służbowej, w tym informacji o klauzuli 'zastrzeżone' lub 'poufne'). Jeśli więc sprawa dotyczy realnie informacji niejawnych, a nie danych osobowych, kwalifikacja prawna i strategia obrony są inne. Ustalenie, z jaką kategorią danych mamy do czynienia, jest pierwszym i najważniejszym krokiem.