Przestępstwa przeciwko ochronie danych osobowych — kary z art. 107 i 108 UODO oraz RODO
RODO i dane osobowe · 5 min czytania · Redakcja zaufanyprawnik.pl
Naruszenie zasad ochrony danych osobowych może prowadzić do trzech odrębnych rodzajów odpowiedzialności: administracyjnej (kary pieniężne RODO nakładane przez Prezesa UODO), cywilnej (odszkodowanie dla osoby poszkodowanej) oraz karnej (grzywna, ograniczenie wolności lub pozbawienie wolności). W Polsce reżim ten tworzą równolegle ogólne rozporządzenie o ochronie danych (RODO / GDPR), obowiązujące bezpośrednio od 25 maja 2018 r., oraz ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (UODO), która zawiera m.in. przepisy karne w art. 107 i art. 108. Ten artykuł wyjaśnia, jakie czyny są przestępstwami, jakie grożą kary, jaka jest rola Prezesa UODO i inspektora ochrony danych (IOD) oraz jak praktycznie zminimalizować ryzyko. Tekst ma charakter informacyjny i nie zastępuje porady prawnej w indywidualnej sprawie.
Które przepisy regulują przestępstwa wobec danych osobowych
Podstawą jest ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Uwaga: to nowa ustawa, która uchyliła poprzednią ustawę z 1997 r. — w aktualnym stanie prawnym przepisy karne to art. 107 i 108 UODO, a nie dawny art. 49. Obok UODO obowiązuje bezpośrednio RODO, które definiuje pojęcia (dane osobowe, dane szczególnych kategorii — art. 9 RODO), zasady przetwarzania (art. 5 RODO), prawa osób, których dane dotyczą, oraz administracyjne kary pieniężne (art. 83 RODO). Warto pamiętać, że odrębne przepisy karne dotyczące danych zawiera też Kodeks karny — np. art. 267 KK (nielegalne uzyskanie dostępu do informacji, hacking) czy art. 268-269b KK (naruszenie integralności danych informatycznych). W praktyce jedno zdarzenie może rodzić odpowiedzialność z kilku ustaw jednocześnie.
Kary kryminalne z art. 107 i 108 UODO
Art. 107 UODO penalizuje przetwarzanie danych osobowych, gdy jest ono niedopuszczalne albo gdy przetwarza je osoba do tego nieuprawniona. Typ podstawowy (art. 107 ust. 1 UODO) zagrożony jest grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2. Typ kwalifikowany (art. 107 ust. 2 UODO) — gdy czyn dotyczy danych szczególnych kategorii, czyli tzw. danych wrażliwych z art. 9 RODO (np. dane o zdrowiu, pochodzeniu etnicznym, poglądach politycznych, orientacji seksualnej, dane biometryczne) lub danych dotyczących wyroków skazujących (art. 10 RODO) — zagrożony jest karą pozbawienia wolności do lat 3. Z kolei art. 108 UODO karze udaremnianie lub utrudnianie kontroli prowadzonej przez Prezesa UODO — grzywną, ograniczeniem wolności albo pozbawieniem wolności do lat 2. To przestępstwa ścigane z oskarżenia publicznego.
Administracyjne kary pieniężne RODO — do 20 mln euro
Niezależnie od odpowiedzialności karnej Prezes UODO może nałożyć administracyjną karę pieniężną na podstawie art. 83 RODO. Górne granice są wysokie: za lżejsze naruszenia (np. braki w obowiązkach administratora i podmiotu przetwarzającego) — do 10 mln euro lub 2% rocznego światowego obrotu, a za cięższe (np. naruszenie podstawowych zasad przetwarzania, praw osób, których dane dotyczą) — do 20 mln euro lub 4% rocznego światowego obrotu, przy czym stosuje się kwotę wyższą. Polskie organy i podmioty publiczne podlegają odrębnym, niższym limitom (do 100 000 zł, a niektóre instytucje do 10 000 zł — art. 102-103 UODO). Wysokość kary nie jest dowolna: Prezes UODO bierze pod uwagę m.in. charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych, umyślność lub niedbalstwo, działania naprawcze i wcześniejsze naruszenia (art. 83 ust. 2 RODO).
Wina umyślna, odpowiedzialność i ciężar dowodu
Dla odpowiedzialności karnej z art. 107 UODO istotna jest strona podmiotowa — przepis dotyczy zachowań umyślnych. Przypadkowe, niezawinione naruszenie nie wyczerpuje znamion przestępstwa, choć nadal może skutkować administracyjną karą pieniężną lub odpowiedzialnością cywilną. To ważna różnica: reżim karny wymaga winy umyślnej, natomiast reżim administracyjny RODO opiera się na zasadzie rozliczalności (accountability) z art. 5 ust. 2 RODO. Zgodnie z nią to administrator danych musi być w stanie wykazać, że przetwarza dane zgodnie z prawem — ciężar udowodnienia zgodności spoczywa na nim. Dlatego tak duże znaczenie ma dokumentacja: rejestr czynności przetwarzania (art. 30 RODO), polityki, podstawy prawne przetwarzania (art. 6 RODO) i dowody przeprowadzonych szkoleń. Brak dokumentacji utrudnia obronę zarówno przed Prezesem UODO, jak i w postępowaniu karnym.
Zgłaszanie naruszeń i prawa osób poszkodowanych
Administrator, który stwierdzi naruszenie ochrony danych osobowych, ma obowiązek zgłosić je Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO), chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób. Jeżeli ryzyko jest wysokie, trzeba też zawiadomić same osoby, których dane dotyczą (art. 34 RODO). Osoba poszkodowana ma szereg uprawnień: prawo dostępu do danych (art. 15 RODO), sprostowania (art. 16 RODO), usunięcia — „prawo do bycia zapomnianym” (art. 17 RODO), ograniczenia przetwarzania (art. 18 RODO) oraz sprzeciwu (art. 21 RODO). Może też wnieść skargę do Prezesa UODO (art. 77 RODO) i — co istotne — żądać odszkodowania za szkodę majątkową lub niemajątkową wynikłą z naruszenia (art. 82 RODO) przed sądem cywilnym.
Rola inspektora ochrony danych (IOD) i compliance
Inspektor ochrony danych (IOD; ang. DPO) to funkcja przewidziana w art. 37-39 RODO. Wyznaczenie IOD jest obowiązkowe m.in. dla organów i podmiotów publicznych oraz dla administratorów i podmiotów przetwarzających, których główna działalność polega na operacjach wymagających regularnego i systematycznego monitorowania osób na dużą skalę albo na przetwarzaniu na dużą skalę danych szczególnych kategorii. IOD monitoruje przestrzeganie RODO, doradza, prowadzi szkolenia, współpracuje z Prezesem UODO i jest punktem kontaktowym dla osób, których dane dotyczą. Dla obrony przed zarzutami kluczowe jest zbudowanie systemu zgodności: aktualny rejestr czynności przetwarzania, oceny skutków dla ochrony danych (DPIA — art. 35 RODO) tam, gdzie są wymagane, umowy powierzenia (art. 28 RODO), polityki bezpieczeństwa i udokumentowane, regularne szkolenia personelu. Taki system nie tylko minimalizuje ryzyko naruszeń, ale stanowi dowód należytej staranności.
Jak pomaga prawnik i kiedy się zgłosić
Sprawy z zakresu ochrony danych łączą prawo administracyjne, cywilne i karne, dlatego warto skorzystać z pomocy prawnika wyspecjalizowanego w RODO. Na etapie zapobiegawczym prawnik audytuje procesy, przygotowuje dokumentację i umowy powierzenia oraz szkoli zespół. Po wystąpieniu naruszenia pomaga prawidłowo i terminowo zgłosić je Prezesowi UODO, ograniczyć szkody i odpowiednio zawiadomić osoby poszkodowane. W postępowaniu administracyjnym przed Prezesem UODO reprezentuje administratora, kwestionuje zasadność lub wysokość kary i — w razie potrzeby — wnosi skargę do Wojewódzkiego Sądu Administracyjnego. W postępowaniu karnym z art. 107-108 UODO pełni rolę obrońcy, badając przede wszystkim, czy zachowano znamię umyślności i czy zgromadzone dowody są legalne. Im wcześniej zaangażuje się prawnika, tym większa szansa na ograniczenie odpowiedzialności.
Najczęstsze pytania
Jakie kary grożą za nielegalne przetwarzanie danych osobowych?
Za przetwarzanie danych niedopuszczalne lub przez osobę nieuprawnioną grozi grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat (art. 107 ust. 1 UODO). Jeśli czyn dotyczy danych szczególnych kategorii (wrażliwych, art. 9 RODO) lub danych o wyrokach (art. 10 RODO), kara sięga 3 lat pozbawienia wolności (art. 107 ust. 2 UODO). Niezależnie Prezes UODO może nałożyć karę administracyjną RODO.
Czy przypadkowe naruszenie ochrony danych jest przestępstwem?
Przestępstwo z art. 107 UODO wymaga winy umyślnej, więc niezawinione, przypadkowe naruszenie nie wyczerpuje jego znamion karnych. Może jednak skutkować administracyjną karą pieniężną z art. 83 RODO oraz odpowiedzialnością cywilną (odszkodowanie z art. 82 RODO), bo te reżimy nie wymagają umyślności w takim samym stopniu.
Jak wysokie mogą być administracyjne kary RODO?
Za cięższe naruszenia (np. naruszenie podstawowych zasad przetwarzania lub praw osób) kara może wynieść do 20 mln euro albo 4% rocznego światowego obrotu — stosuje się kwotę wyższą (art. 83 ust. 5 RODO). Za lżejsze naruszenia limit to 10 mln euro lub 2% obrotu. Polskie podmioty publiczne podlegają niższym limitom (art. 102-103 UODO).
Komu zgłosić naruszenie ochrony danych i w jakim terminie?
Administrator zgłasza naruszenie Prezesowi Urzędu Ochrony Danych Osobowych (Prezesowi UODO) bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od jego stwierdzenia (art. 33 RODO). Jeśli naruszenie powoduje wysokie ryzyko dla praw i wolności, trzeba też zawiadomić same osoby, których dane dotyczą (art. 34 RODO).
Czy mogę żądać odszkodowania za naruszenie moich danych?
Tak. Na podstawie art. 82 RODO osoba, która poniosła szkodę majątkową lub niemajątkową wskutek naruszenia, ma prawo do odszkodowania od administratora lub podmiotu przetwarzającego. Roszczenie dochodzi się przed sądem cywilnym. Niezależnie można wnieść skargę do Prezesa UODO (art. 77 RODO).
Kiedy trzeba wyznaczyć inspektora ochrony danych (IOD)?
Wyznaczenie IOD jest obowiązkowe m.in. dla organów i podmiotów publicznych oraz gdy główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę albo na przetwarzaniu na dużą skalę danych szczególnych kategorii (art. 37 RODO). W pozostałych przypadkach powołanie IOD jest dobrowolne, ale bywa zalecane.
Powiązane poradniki
- Nielegalne przetwarzanie danych osobowych – jakie masz prawa i kiedy grozi odpowiedzialność karna
- Nielegalne przetwarzanie i handel danymi osobowymi – kary i odpowiedzialność
- Przestępstwa przeciwko ochronie danych osobowych - kary i rola adwokata
- Ochrona danych wrażliwych w medycynie – odpowiedzialność i rola adwokata
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę