Nielegalne przetwarzanie danych osobowych – jakie masz prawa i kiedy grozi odpowiedzialność karna
RODO i dane osobowe · 6 min czytania · Redakcja zaufanyprawnik.pl
Bezprawne zbieranie i przetwarzanie danych osobowych to jeden z najczęstszych problemów, z jakimi mierzą się dziś zarówno osoby fizyczne, jak i przedsiębiorcy. Dane są przetwarzane bez podstawy prawnej, wbrew cofniętej zgodzie, w celach innych niż pierwotnie wskazane albo trafiają do podmiotów, którym nigdy ich nie udostępniono. W Polsce ochronę danych osobowych regulują przede wszystkim RODO (rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679) oraz ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, która zastąpiła starą ustawę z 1997 r. To ważne rozróżnienie: dawne przepisy o ochronie danych (m.in. art. 49 ustawy z 1997 r., o którym wciąż krążą informacje w sieci) już nie obowiązują. Organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO). W tym artykule wyjaśniamy, jakie prawa przysługują Ci jako osobie, której dane dotyczą, jak złożyć skargę, kiedy można domagać się odszkodowania, a kiedy bezprawne przetwarzanie staje się przestępstwem zagrożonym karą.
Kiedy przetwarzanie danych jest nielegalne
Zgodnie z art. 6 RODO przetwarzanie danych jest legalne tylko wtedy, gdy opiera się na jednej z podstaw prawnych: zgodzie osoby, której dane dotyczą, wykonaniu umowy, obowiązku prawnym administratora, ochronie żywotnych interesów, zadaniu realizowanym w interesie publicznym albo prawnie uzasadnionym interesie administratora. Brak którejkolwiek z tych podstaw oznacza, że przetwarzanie jest bezprawne. Dane szczególnych kategorii (tzw. dane wrażliwe – o zdrowiu, poglądach, orientacji, przynależności do związków zawodowych, dane biometryczne) podlegają jeszcze surowszym warunkom z art. 9 RODO i co do zasady ich przetwarzanie jest zakazane poza wyjątkami wprost wskazanymi w przepisach. Naruszeniem jest także przetwarzanie danych w celu innym niż pierwotny (naruszenie zasady ograniczenia celu z art. 5 RODO), zbieranie większej ilości danych niż potrzeba (naruszenie zasady minimalizacji) albo dalsze ich przechowywanie po cofnięciu zgody lub ustaniu celu. Jeśli podejrzewasz, że Twoje dane są przetwarzane bezprawnie, pierwszym krokiem jest ustalenie, kto jest administratorem i na jakiej podstawie działa – to administrator musi wykazać legalność przetwarzania (zasada rozliczalności z art. 5 ust. 2 RODO).
Prawo dostępu, sprostowania i usunięcia danych
RODO daje Ci konkretne, egzekwowalne uprawnienia. Prawo dostępu (art. 15 RODO) pozwala żądać od administratora informacji, czy i jakie Twoje dane przetwarza, w jakim celu, komu je udostępnia i jak długo będą przechowywane, a także otrzymania kopii danych. Prawo do sprostowania (art. 16 RODO) umożliwia poprawienie danych nieprawidłowych lub uzupełnienie niekompletnych. Prawo do usunięcia, czyli tzw. prawo do bycia zapomnianym (art. 17 RODO), pozwala żądać skasowania danych, gdy nie są już potrzebne, cofnąłeś zgodę i nie ma innej podstawy, dane były przetwarzane bezprawnie albo wniosłeś skuteczny sprzeciw. Masz też prawo do ograniczenia przetwarzania (art. 18 RODO), do przenoszenia danych (art. 20 RODO) oraz do sprzeciwu (art. 21 RODO), w tym całkowitego sprzeciwu wobec marketingu bezpośredniego. Administrator ma obowiązek odpowiedzieć bez zbędnej zwłoki, najpóźniej w ciągu miesiąca od otrzymania żądania (art. 12 ust. 3 RODO); termin ten można przedłużyć o kolejne dwa miesiące w sprawach skomplikowanych, ale wymaga to poinformowania wnioskodawcy. Realizacja wniosku jest co do zasady bezpłatna.
Skarga do Prezesa UODO – krok po kroku
Jeśli administrator nie reaguje na Twoje żądania albo przetwarza dane bezprawnie, możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (art. 77 RODO). To podstawowy tryb administracyjny i jest on bezpłatny. W praktyce warto działać krok po kroku. Po pierwsze, zacznij od pisemnego wezwania administratora do realizacji Twojego prawa (np. usunięcia danych) i zachowaj dowód wysłania oraz odpowiedź lub jej brak. Po drugie, jeśli administrator nie zareaguje lub odmówi bezzasadnie, przygotuj skargę do Prezesa UODO: opisz, czyje i jakie dane są przetwarzane, kto jest administratorem, na czym polega naruszenie i czego się domagasz; dołącz dowody (korespondencję, zrzuty ekranu, kopie pism). Skargę można wnieść pisemnie lub elektronicznie przez ePUAP. Po trzecie, Prezes UODO prowadzi postępowanie administracyjne i może nakazać administratorowi usunięcie naruszenia, a w razie poważnych uchybień nałożyć administracyjną karę pieniężną. Po czwarte, na decyzję Prezesa UODO przysługuje skarga do Wojewódzkiego Sądu Administracyjnego. Niezależnie od skargi administracyjnej możesz dochodzić roszczeń przed sądem cywilnym (art. 79 RODO).
Odszkodowanie i zadośćuczynienie za naruszenie
Za szkodę wyrządzoną naruszeniem RODO przysługuje Ci odszkodowanie na podstawie art. 82 RODO. Co istotne, obejmuje ono zarówno szkodę majątkową (np. straty finansowe wynikające z wycieku danych), jak i niemajątkową – czyli krzywdę, na przykład stres, utratę poczucia bezpieczeństwa czy naruszenie prywatności. Roszczenia dochodzi się przed sądem cywilnym (powszechnym). Trzeba jednak rzetelnie zaznaczyć: samo naruszenie RODO nie wystarcza – zgodnie z orzecznictwem Trybunału Sprawiedliwości UE (m.in. wyrok C-300/21, Österreichische Post) trzeba wykazać, że doszło do naruszenia, że powstała konkretna szkoda oraz że istnieje związek przyczynowy między nimi. Nie ma w prawie polskim ani unijnym instytucji „odszkodowań karnych” (znanych z prawa amerykańskiego) – polskie odszkodowanie ma charakter kompensacyjny, czyli ma wyrównać rzeczywistą szkodę i krzywdę, a nie ukarać sprawcę. Funkcję karną pełni odrębnie administracyjna kara pieniężna nakładana przez Prezesa UODO oraz ewentualna odpowiedzialność karna. Niezależnie od RODO, w razie naruszenia dóbr osobistych (np. prywatności) podstawą roszczeń mogą być też art. 23, 24 i 448 Kodeksu cywilnego.
Administracyjne kary pieniężne za naruszenie ochrony danych
RODO przewiduje wysokie administracyjne kary pieniężne, które Prezes UODO może nałożyć na administratora lub podmiot przetwarzający. Zgodnie z art. 83 RODO funkcjonują dwa progi. Za naruszenia o mniejszej wadze (np. uchybienia obowiązkom administratora dotyczącym zabezpieczeń lub zgłoszeń) grozi kara do 10 mln euro lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku – w zależności od tego, która kwota jest wyższa. Za najpoważniejsze naruszenia (np. przetwarzanie bez podstawy prawnej, naruszenie zasad przetwarzania lub praw osób, których dane dotyczą) próg wynosi do 20 mln euro lub do 4% rocznego światowego obrotu. To właśnie ten górny próg jest często cytowany w mediach. Kara jest ustalana indywidualnie z uwzględnieniem m.in. charakteru i wagi naruszenia, liczby poszkodowanych, umyślności oraz współpracy z organem. Dla podmiotów publicznych polska ustawa przewiduje niższy limit kary (do 100 tys. zł). Warto podkreślić, że kara administracyjna trafia do budżetu państwa, a nie do osoby poszkodowanej – tej drugiej służy odrębne roszczenie odszkodowawcze.
Kiedy bezprawne przetwarzanie staje się przestępstwem
Poza odpowiedzialnością administracyjną i cywilną, niektóre formy bezprawnego przetwarzania danych są przestępstwem. Kluczowy jest tu art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, który zastąpił dawny art. 49 ustawy z 1997 r. Zgodnie z art. 107 ust. 1 kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do którego nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do 2 lat. Jeżeli czyn dotyczy danych szczególnych kategorii (danych wrażliwych z art. 9 lub danych o wyrokach skazujących z art. 10 RODO), górna granica kary rośnie do 3 lat pozbawienia wolności (art. 107 ust. 2). Odrębnie karalne jest udaremnianie lub utrudnianie kontroli przeprowadzanej przez UODO (art. 108 ustawy). Dodatkowo bezprawne uzyskiwanie cudzych informacji może wyczerpywać znamiona przestępstw z Kodeksu karnego – np. naruszenia tajemnicy korespondencji i bezprawnego dostępu do informacji (art. 267 KK) czy bezprawnego niszczenia lub modyfikowania danych informatycznych (art. 268-268a KK). Jeśli czujesz się ofiarą takiego czynu, możesz złożyć zawiadomienie o podejrzeniu popełnienia przestępstwa do prokuratury lub na policję – niezależnie od skargi do Prezesa UODO.
Co zrobić, gdy Twoje dane są przetwarzane bezprawnie
Gdy podejrzewasz bezprawne zbieranie lub przetwarzanie Twoich danych, działaj systematycznie. Po pierwsze, zabezpiecz dowody: zachowaj e-maile, SMS-y, zrzuty ekranu, niezamówione oferty marketingowe i wszelkie ślady wskazujące na to, kto i jak korzysta z Twoich danych. Po drugie, ustal administratora i skieruj do niego pisemne żądanie (np. dostępu do danych, usunięcia lub zaprzestania przetwarzania) – masz prawo do odpowiedzi w ciągu miesiąca. Po trzecie, jeśli administrator nie reaguje lub przetwarza dane bezprawnie, złóż skargę do Prezesa UODO. Po czwarte, jeśli ponieśli(eś) szkodę majątkową lub krzywdę, rozważ pozew cywilny o odszkodowanie z art. 82 RODO lub o ochronę dóbr osobistych. Po piąte, gdy zachodzi podejrzenie przestępstwa (np. włamanie do skrzynki, kradzież bazy danych, handel danymi), złóż zawiadomienie do organów ścigania. Warto pamiętać, że poszczególne ścieżki – administracyjna, cywilna i karna – są od siebie niezależne i mogą biec równolegle. W sprawach bardziej złożonych (np. wyciek danych dotyczący wielu osób lub spór z dużym przedsiębiorcą) pomoc radcy prawnego lub adwokata specjalizującego się w ochronie danych istotnie zwiększa szanse na skuteczne dochodzenie praw.
Najczęstsze pytania
Gdzie zgłosić bezprawne przetwarzanie moich danych osobowych?
Skargę składa się do Prezesa Urzędu Ochrony Danych Osobowych (Prezes UODO) na podstawie art. 77 RODO – pisemnie lub elektronicznie przez ePUAP. Skarga jest bezpłatna. Wcześniej warto pisemnie wezwać administratora do realizacji Twojego prawa i zachować dowody. Niezależnie od skargi do UODO możesz dochodzić roszczeń w sądzie cywilnym, a w razie podejrzenia przestępstwa – złożyć zawiadomienie do prokuratury lub na policję.
Czy mogę cofnąć zgodę na przetwarzanie danych w każdej chwili?
Tak. Zgodnie z art. 7 ust. 3 RODO masz prawo cofnąć zgodę w dowolnym momencie, a wycofanie musi być równie proste jak jej udzielenie. Cofnięcie nie wpływa na zgodność z prawem przetwarzania sprzed wycofania zgody. Po cofnięciu zgody administrator musi zaprzestać przetwarzania, jeśli nie istnieje inna podstawa prawna. Pamiętaj jednak, że zgoda to tylko jedna z sześciu podstaw przetwarzania z art. 6 RODO – administrator może legalnie przetwarzać dane także np. na podstawie umowy lub obowiązku prawnego.
Jaką karę grozi firmie za naruszenie ochrony danych osobowych?
Prezes UODO może nałożyć administracyjną karę pieniężną na podstawie art. 83 RODO – do 10 mln euro lub 2% rocznego światowego obrotu za naruszenia o mniejszej wadze, a za najpoważniejsze naruszenia (np. przetwarzanie bez podstawy prawnej) do 20 mln euro lub 4% rocznego obrotu. Podmioty publiczne w Polsce odpowiadają do 100 tys. zł. Kara trafia do budżetu państwa; osoba poszkodowana dochodzi odrębnie odszkodowania z art. 82 RODO.
Czy za nielegalne przetwarzanie danych można trafić do więzienia?
Tak, w określonych przypadkach. Art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych przewiduje za przetwarzanie danych bez uprawnienia lub gdy jest niedopuszczalne grzywnę, ograniczenie wolności albo pozbawienie wolności do 2 lat, a w razie danych wrażliwych – do 3 lat. Bezprawne uzyskanie cudzych informacji może też wyczerpać znamiona przestępstw z Kodeksu karnego, np. art. 267 KK (bezprawny dostęp do informacji).
Jakie odszkodowanie mogę uzyskać za naruszenie moich danych?
Na podstawie art. 82 RODO możesz dochodzić odszkodowania za szkodę majątkową oraz zadośćuczynienia za krzywdę niemajątkową (np. stres, naruszenie prywatności). Roszczenie wnosi się do sądu cywilnego. Trzeba wykazać naruszenie, rzeczywistą szkodę lub krzywdę oraz związek przyczynowy – samo naruszenie RODO nie wystarczy do zasądzenia kwoty. W prawie polskim nie istnieją „odszkodowania karne”; świadczenie ma charakter wyrównawczy.
Ile czasu mam na złożenie skargi do UODO?
Przepisy nie wyznaczają sztywnego terminu na wniesienie skargi do Prezesa UODO – można ją złożyć, dopóki naruszenie trwa lub jego skutki są aktualne. Warto jednak działać szybko: dowody (logi, korespondencja) z czasem trudniej zabezpieczyć, a roszczenia cywilne o odszkodowanie podlegają przedawnieniu według ogólnych zasad Kodeksu cywilnego (co do zasady 6 lat, a dla roszczeń związanych z działalnością gospodarczą 3 lata).
Powiązane poradniki
- Nielegalne przetwarzanie danych osobowych – odpowiedzialność i obrona (art. 107 ustawy o ODO)
- Nielegalne pozyskanie danych z telefonu - jakie masz prawa i co możesz zrobić
- Nielegalne pozyskanie danych z monitoringu miejskiego: jaka grozi odpowiedzialność i jak się bronić
- Naruszenie ochrony danych osobowych w internecie - prawa, skargi i odszkodowanie (RODO)
Podstawa prawna i źródła
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – m.in. art. 5-9 (zasady i podstawy przetwarzania), art. 12-21 (prawa osoby, której dane dotyczą), art. 77 i 79 (skarga i środki ochrony prawnej), art. 82 (odszkodowanie), art. 83 (kary administracyjne)
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (m.in. art. 107 – odpowiedzialność karna za bezprawne przetwarzanie; art. 108 – udaremnianie kontroli)
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (m.in. art. 267 – bezprawny dostęp do informacji; art. 268-268a – naruszenie integralności danych informatycznych)
- Ustawa z dnia 23 kwietnia 1964 r. – Kodeks cywilny (art. 23, 24 i 448 – ochrona dóbr osobistych, w tym prawa do prywatności)
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę