Przestępstwa przeciwko ochronie danych osobowych – odpowiedzialność i rola kancelarii

Bezpieczeństwo danych osobowych to dziś jeden z głównych obszarów ryzyka prawnego dla firm. Naruszenie ochrony danych może oznaczać trzy odrębne rodzaje odpowiedzialności jednocześnie: administracyjną (kary pieniężne Prezesa Urzędu Ochrony Danych Osobowych na podstawie RODO), cywilną (odszkodowanie dla poszkodowanych z art. 82 RODO) oraz karną (przepisy karne ustawy o ochronie danych osobowych i Kodeksu karnego). Kancelaria prawna pomaga firmie na każdym z tych pól – od wdrożenia zgodności i polityk bezpieczeństwa, przez reakcję na incydent i zgłoszenie naruszenia, po reprezentację w postępowaniu przed UODO i w sprawach sądowych. Poniżej wyjaśniamy, jakie przepisy obowiązują w Polsce, jakie grożą kary, jak wygląda obsługa naruszenia danych oraz jak prawnik realnie ogranicza ryzyko po stronie administratora danych.

Trzy reżimy odpowiedzialności: administracyjny, cywilny i karny

Warto wyraźnie rozróżnić trzy płaszczyzny. Po pierwsze, odpowiedzialność administracyjna: RODO (rozporządzenie UE 2016/679) przewiduje administracyjne kary pieniężne nakładane przez Prezesa UODO – do 10 mln euro lub 2% rocznego obrotu (art. 83 ust. 4 RODO) albo do 20 mln euro lub 4% rocznego obrotu (art. 83 ust. 5 RODO) za najpoważniejsze naruszenia. Po drugie, odpowiedzialność cywilna: każda osoba, która poniosła szkodę majątkową lub niemajątkową wskutek naruszenia RODO, ma prawo do odszkodowania od administratora lub podmiotu przetwarzającego (art. 82 RODO). Po trzecie, odpowiedzialność karna: polska ustawa z 10 maja 2018 r. o ochronie danych osobowych zawiera przepisy karne (art. 107 i 108), a odrębnie Kodeks karny penalizuje czyny „komputerowe” (m.in. art. 267 KK – nieuprawniony dostęp do informacji). To trzy niezależne ścieżki, które jedno zdarzenie może uruchomić równolegle.

Przepisy karne ustawy o ochronie danych osobowych (art. 107–108)

Polska ustawa z 10 maja 2018 r. o ochronie danych osobowych przewiduje własne przestępstwa. Art. 107 ustawy penalizuje przetwarzanie danych osobowych, gdy ich przetwarzanie nie jest dopuszczalne albo gdy sprawca nie jest do tego uprawniony – grozi za to grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2; jeśli czyn dotyczy danych szczególnej kategorii (np. dane o zdrowiu, pochodzeniu, przekonaniach), kara sięga do 3 lat pozbawienia wolności. Art. 108 ustawy penalizuje udaremnianie lub utrudnianie kontroli przestrzegania przepisów o ochronie danych prowadzonej przez UODO – grozi grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2. Uwaga: są to przepisy aktualnej ustawy z 2018 r.; dawna ustawa z 1997 r. (z karnym art. 49) została uchylona, dlatego dziś prawidłową podstawą są art. 107–108 ustawy z 2018 r.

Hacking i przestępstwa komputerowe – Kodeks karny (art. 267–269b)

Gdy do naruszenia danych dochodzi w wyniku ataku, w grę wchodzą przepisy Rozdziału XXXIII Kodeksu karnego „Przestępstwa przeciwko ochronie informacji”. Najważniejsze to: art. 267 KK – nieuprawniony dostęp do informacji (hacking, przełamanie zabezpieczeń, podsłuch); art. 268 i 268a KK – niszczenie, uszkadzanie lub utrudnianie dostępu do danych informatycznych; art. 269 KK – sabotaż komputerowy (do 8 lat pozbawienia wolności); art. 269a KK – zakłócanie pracy systemu (np. atak DDoS); art. 269b KK – wytwarzanie i udostępnianie tzw. narzędzi hakerskich. W praktyce jeden wyciek bazy klientów po włamaniu może oznaczać odpowiedzialność karną sprawcy włamania (art. 267–269 KK) i jednocześnie odpowiedzialność administracyjną administratora danych za niewystarczające zabezpieczenia (RODO). Krok praktyczny: po wykryciu ataku natychmiast zabezpiecz logi i dowody cyfrowe – są kluczowe zarówno dla ścigania sprawcy, jak i dla wykazania należytej staranności firmy.

Obsługa naruszenia ochrony danych krok po kroku

Reakcja na incydent powinna być procedurą, nie improwizacją. Po wykryciu naruszenia administrator: (1) zabezpiecza dowody i ogranicza skutki incydentu; (2) ocenia ryzyko dla praw i wolności osób, których dane dotyczą; (3) jeśli ryzyko występuje, zgłasza naruszenie do Prezesa UODO bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO); (4) jeśli ryzyko jest wysokie, zawiadamia także osoby, których dane dotyczą (art. 34 RODO); (5) odnotowuje naruszenie w wewnętrznym rejestrze (art. 33 ust. 5 RODO). Kancelaria pomaga ocenić, czy zgłoszenie jest wymagane, prawidłowo przygotować jego treść i uzasadnienie oraz komunikację z poszkodowanymi. Krok praktyczny: termin 72 godzin biegnie od stwierdzenia naruszenia, dlatego firma powinna mieć wcześniej gotowy plan reagowania na incydenty i ścieżkę kontaktu z prawnikiem.

Jak kancelaria ogranicza ryzyko firmy

Rola prawnika to przede wszystkim prewencja. Kancelaria przeprowadza audyt zgodności z RODO, opracowuje politykę ochrony danych, rejestr czynności przetwarzania (art. 30 RODO), umowy powierzenia przetwarzania (art. 28 RODO), klauzule informacyjne oraz procedury realizacji praw osób (np. dostępu, sprostowania, usunięcia). Doradza też przy ocenie skutków dla ochrony danych (DPIA – art. 35 RODO) tam, gdzie przetwarzanie wiąże się z wysokim ryzykiem, oraz przy powołaniu inspektora ochrony danych (IOD – art. 37 RODO). W razie kontroli UODO prawnik reprezentuje firmę i dba o prawidłowy przebieg postępowania. Krok praktyczny: udokumentowana zgodność (polityki, szkolenia, rejestr, DPIA) jest realnym argumentem łagodzącym przy wymiarze kary – art. 83 ust. 2 RODO każe organowi uwzględnić m.in. wdrożone zabezpieczenia i stopień współpracy.

Postępowanie przed UODO i odwołanie od decyzji

Jeśli dojdzie do postępowania administracyjnego, Prezes UODO może m.in. udzielić upomnienia, nakazać dostosowanie przetwarzania do przepisów albo nałożyć administracyjną karę pieniężną. Postępowanie prowadzone jest co do zasady według Kodeksu postępowania administracyjnego. Od decyzji Prezesa UODO przysługuje skarga do Wojewódzkiego Sądu Administracyjnego w Warszawie, a następnie skarga kasacyjna do Naczelnego Sądu Administracyjnego. Kancelaria reprezentuje firmę na każdym etapie – przygotowuje wyjaśnienia, odpowiedzi na zawiadomienia i skargi do sądu administracyjnego. Krok praktyczny: terminy w postępowaniu administracyjnym i sądowoadministracyjnym są krótkie i nieprzywracalne bez ważnej przyczyny, dlatego po otrzymaniu pisma z UODO warto niezwłocznie skonsultować się z prawnikiem, zamiast odpowiadać samodzielnie.

Szkolenia i kultura bezpieczeństwa danych

Większość naruszeń wynika z błędu ludzkiego – wysłania danych do niewłaściwego adresata, kliknięcia w phishing czy zgubienia nośnika. Dlatego skuteczna ochrona danych to nie tylko dokumenty, lecz także regularne szkolenia pracowników z zasad RODO, rozpoznawania zagrożeń i procedury zgłaszania incydentów wewnątrz firmy. Kancelaria lub inspektor ochrony danych mogą przygotować szkolenia dostosowane do specyfiki organizacji oraz okresowe testy (np. symulacje phishingu). Krok praktyczny: prowadź ewidencję odbytych szkoleń i zaktualizowanych polityk – w razie kontroli stanowi to dowód należytej staranności i może wpłynąć na łagodniejszą ocenę przez UODO. Warto też korzystać z wytycznych i decyzji publikowanych przez Prezesa UODO oraz wytycznych Europejskiej Rady Ochrony Danych (EROD).