Nielegalne przetwarzanie danych osobowych – odpowiedzialność i obrona (art. 107 ustawy o ODO)
RODO i dane osobowe · 5 min czytania · Redakcja zaufanyprawnik.pl
Nielegalne przetwarzanie danych osobowych może rodzić aż trzy rodzaje odpowiedzialności: administracyjną (kary pieniężne Prezesa UODO na podstawie art. 83 RODO), cywilną (odszkodowanie dla osoby, której dane dotyczą, z art. 82 RODO) oraz karną (przestępstwa z art. 107 i 108 ustawy z 10 maja 2018 r. o ochronie danych osobowych). To trzy odrębne reżimy, które mogą działać równolegle wobec tego samego zdarzenia. W postępowaniu karnym obrona opiera się przede wszystkim na wykazaniu legalnej podstawy przetwarzania oraz na braku umyślności sprawcy, bo przestępstwa z ustawy o ODO można popełnić wyłącznie umyślnie. Poniżej wyjaśniamy, co dokładnie jest karalne, jakie grożą sankcje i jakie linie obrony są realne na gruncie polskiego prawa i RODO.
Co jest przestępstwem: art. 107 i 108 ustawy o ochronie danych osobowych
Polska ustawa z 10 maja 2018 r. o ochronie danych osobowych zawiera odrębne przepisy karne. Art. 107 penalizuje przetwarzanie danych osobowych, gdy jest ono niedopuszczalne albo gdy przetwarzający nie jest do tego uprawniony. Za przetwarzanie danych „zwykłych” bez podstawy grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2, a jeżeli czyn dotyczy danych szczególnych kategorii (tzw. danych wrażliwych – np. o zdrowiu, pochodzeniu etnicznym, poglądach, orientacji, danych genetycznych i biometrycznych) – do lat 3. Art. 108 penalizuje natomiast udaremnianie lub utrudnianie kontroli prowadzonej przez Prezesa UODO (grzywna, ograniczenie wolności albo pozbawienie wolności do lat 2). Te przestępstwa są ścigane z urzędu i mają charakter umyślny – co jest kluczowe dla budowania obrony.
Trzy reżimy odpowiedzialności – nie mylić ze sobą
Najczęstszy błąd to mieszanie kar pieniężnych RODO z odpowiedzialnością karną. Administracyjne kary pieniężne nakłada Prezes UODO w drodze decyzji – ich górne pułapy określa art. 83 RODO (do 10 mln euro lub 2% rocznego obrotu, a za poważniejsze naruszenia do 20 mln euro lub 4% obrotu). To sankcja wobec administratora lub podmiotu przetwarzającego, a nie kara kryminalna wobec osoby fizycznej. Odpowiedzialność cywilna (art. 82 RODO) to obowiązek naprawienia szkody majątkowej i niemajątkowej wobec osoby, której dane dotyczą. Odpowiedzialność karna (art. 107–108 ustawy o ODO) dotyczy konkretnej osoby fizycznej, która umyślnie naruszyła przepisy. Jedno zdarzenie, np. wyciek bazy klientów, może uruchomić wszystkie trzy ścieżki naraz: karę UODO dla firmy, roszczenia klientów i postępowanie karne wobec osoby odpowiedzialnej.
Zgoda jako podstawa i jako linia obrony
Zgoda to jedna z sześciu podstaw przetwarzania z art. 6 ust. 1 RODO (lit. a). Aby była ważna, musi być dobrowolna, konkretna, świadoma i jednoznaczna, a w przypadku danych szczególnych kategorii – wyraźna (art. 9 ust. 2 lit. a RODO). Nie może wynikać z domyślnie zaznaczonego okienka ani z milczenia. Osoba może wycofać zgodę w każdej chwili, równie łatwo jak jej udzieliła (art. 7 ust. 3 RODO). W obronie karnej wykazanie, że przetwarzanie odbywało się na ważnej, prawidłowo udokumentowanej zgodzie, podważa znamię „niedopuszczalności” lub „braku uprawnienia” z art. 107. Krok praktyczny: administrator powinien przechowywać dowody udzielenia zgody (data, treść klauzuli, sposób zebrania) – w razie zarzutu to ta dokumentacja, a nie ustne zapewnienia, decyduje o ocenie legalności.
Uzasadniony interes i pozostałe podstawy przetwarzania
Zgoda to tylko jedna z możliwości. Przetwarzanie jest legalne także wtedy, gdy jest niezbędne do wykonania umowy (art. 6 ust. 1 lit. b RODO), do wypełnienia obowiązku prawnego administratora (lit. c), do ochrony żywotnych interesów (lit. d), do wykonania zadania realizowanego w interesie publicznym (lit. e) lub do celów wynikających z prawnie uzasadnionych interesów administratora (lit. f). Powołanie się na uzasadniony interes wymaga przeprowadzenia testu równowagi: czy interes administratora (np. marketing bezpośredni, dochodzenie roszczeń, bezpieczeństwo) nie jest nadrzędny nad prawami i wolnościami osoby, której dane dotyczą. Wykazanie którejkolwiek z tych podstaw eliminuje znamię nielegalności. Krok praktyczny: udokumentuj test równowagi na piśmie jeszcze przed rozpoczęciem przetwarzania – sporządzony post factum ma znacznie mniejszą wartość dowodową.
Brak umyślności – najsilniejsza linia obrony karnej
Przestępstwa z art. 107 i 108 ustawy o ODO można popełnić tylko umyślnie (art. 8 i 9 Kodeksu karnego stosowane odpowiednio) – w zamiarze bezpośrednim lub ewentualnym. Oznacza to, że nieumyślne, przypadkowe naruszenie (np. omyłkowe wysłanie maila z danymi do niewłaściwego adresata albo dostęp pracownika do danych bez świadomości bezprawności) co do zasady nie wyczerpuje znamion przestępstwa. Taka sytuacja może natomiast skutkować odpowiedzialnością administracyjną firmy lub cywilną. Dlatego obrona często koncentruje się na wykazaniu braku zamiaru: na dobrej wierze sprawcy, na działaniu w ramach przyjętych procedur i upoważnień oraz na braku świadomości, że konkretne przetwarzanie jest niedopuszczalne. Krok praktyczny: zachowaj polecenia służbowe, upoważnienia do przetwarzania i regulaminy – dowodzą, że działałeś w przekonaniu o legalności.
Ciężar dowodu i znaczenie dokumentacji
W postępowaniu karnym to oskarżenie musi udowodnić winę, a oskarżonemu przysługuje domniemanie niewinności i prawo do milczenia (art. 5 i 74 Kodeksu postępowania karnego) – korzystanie z prawa do odmowy wyjaśnień nie może być poczytane na niekorzyść oskarżonego. Inaczej jest na gruncie RODO: zasada rozliczalności (art. 5 ust. 2 RODO) nakłada na administratora obowiązek wykazania zgodności przetwarzania z prawem, a w sporze cywilnym o odszkodowanie z art. 82 RODO to administrator musi udowodnić, że nie ponosi winy. Dobra dokumentacja działa więc dwukierunkowo: w sprawie karnej wspiera tezę o braku umyślności, a w sprawie administracyjnej i cywilnej pozwala spełnić obowiązek rozliczalności. Krok praktyczny: prowadź rejestr czynności przetwarzania, rejestr zgód, dokumentację ocen skutków (DPIA) i polityki bezpieczeństwa – to podstawowy materiał obronny.
Zgłaszanie naruszeń i rola Prezesa UODO
Naruszenie ochrony danych osobowych administrator co do zasady zgłasza Prezesowi UODO bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem dla praw i wolności osób (art. 33 RODO). Jeżeli ryzyko jest wysokie, należy zawiadomić także osoby, których dane dotyczą (art. 34 RODO). Osoba, której prawa naruszono, może złożyć skargę do Prezesa UODO (art. 77 RODO) – pisemnie lub elektronicznie. Sprawne i terminowe zgłoszenie naruszenia bywa okolicznością łagodzącą przy wymiarze administracyjnej kary pieniężnej, a jego brak – okolicznością obciążającą. Krok praktyczny: przygotuj wcześniej procedurę reagowania na incydent, aby dotrzymać terminu 72 godzin – improwizacja po fakcie jest najczęstszą przyczyną dodatkowych zarzutów.
Rola adwokata w sprawie o nielegalne przetwarzanie danych
Adwokat lub radca prawny działa na kilku frontach. W postępowaniu karnym buduje obronę wokół legalnej podstawy przetwarzania i braku umyślności, analizuje sposób pozyskania dowodów oraz prawidłowość czynności organów. W postępowaniu administracyjnym przed Prezesem UODO reprezentuje administratora, przygotowuje wyjaśnienia i ewentualną skargę do sądu administracyjnego na decyzję nakładającą karę. W sporze cywilnym broni przed roszczeniami z art. 82 RODO albo – po stronie poszkodowanego – dochodzi odszkodowania i zadośćuczynienia. Doradza też prewencyjnie: audyt zgodności, polityki, klauzule informacyjne i umowy powierzenia (art. 28 RODO). Krok praktyczny: skonsultuj sprawę z prawnikiem natychmiast po otrzymaniu zawiadomienia o czynnościach UODO lub o postawieniu zarzutów – wczesna strategia chroni przed pochopnymi wyjaśnieniami.
Najczęstsze pytania
Jaka kara grozi za nielegalne przetwarzanie danych osobowych?
Za przetwarzanie danych zwykłych bez podstawy lub bez uprawnienia grozi z art. 107 ustawy o ochronie danych osobowych grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli czyn dotyczy danych szczególnych kategorii (wrażliwych), górna granica wynosi 3 lata. Niezależnie firma może otrzymać administracyjną karę pieniężną z art. 83 RODO.
Czym różni się kara pieniężna z RODO od odpowiedzialności karnej?
To dwa odrębne reżimy. Administracyjną karę pieniężną (do 20 mln euro lub 4% obrotu) nakłada Prezes UODO decyzją na administratora lub podmiot przetwarzający. Odpowiedzialność karna z art. 107–108 ustawy o ODO dotyczy konkretnej osoby fizycznej działającej umyślnie i orzeka ją sąd karny. Jedno zdarzenie może uruchomić obie ścieżki, a dodatkowo roszczenia cywilne.
Czy przypadkowe ujawnienie danych jest przestępstwem?
Zwykle nie. Przestępstwa z art. 107 i 108 ustawy o ochronie danych osobowych są umyślne, więc nieumyślne, przypadkowe naruszenie (np. omyłkowa wysyłka maila) co do zasady nie wyczerpuje ich znamion. Może natomiast prowadzić do odpowiedzialności administracyjnej administratora lub cywilnej za szkodę z art. 82 RODO.
Jakie dane są chronione szczególnie i grożą za nie wyższe kary?
To dane szczególnych kategorii z art. 9 RODO: ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także dane genetyczne, biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej. Ich bezprawne przetwarzanie zagrożone jest karą do 3 lat (art. 107 ust. 2 ustawy o ODO).
Jak zgłosić nielegalne przetwarzanie moich danych?
Można złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (art. 77 RODO) – pisemnie lub elektronicznie przez ePUAP/formularz UODO. Warto opisać administratora, rodzaj danych i okoliczności naruszenia oraz dołączyć dowody. Równolegle można dochodzić odszkodowania na drodze cywilnej (art. 82 RODO) i zawiadomić organy ścigania.
Czy firma może wykorzystać dane do marketingu bez zgody?
Czasem tak – marketing bezpośredni własnych produktów może opierać się na prawnie uzasadnionym interesie administratora (art. 6 ust. 1 lit. f RODO) po przeprowadzeniu testu równowagi. Jednak wysyłka informacji handlowej drogą elektroniczną lub telefon marketingowy wymagają zgody na podstawie odrębnych przepisów (Prawo telekomunikacyjne, ustawa o świadczeniu usług drogą elektroniczną). Dane wrażliwe zawsze wymagają wyraźnej zgody.
Powiązane poradniki
- Niedopuszczalne przetwarzanie danych — odpowiedzialność karna i obrona (art. 107 UODO)
- Nielegalne przetwarzanie i handel danymi osobowymi – kary i odpowiedzialność
- Wyciek danych osobowych - obowiązki, kary RODO i obrona prawna w Polsce
- Naruszenie RODO w ochronie zdrowia - rola prawnika i prawa pacjenta
Podstawa prawna i źródła
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (art. 107, 108 – przepisy karne)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – art. 6, 7, 9, 33, 34, 82, 83
- Ustawa z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (art. 5, 74 – domniemanie niewinności, prawo do milczenia)
- Urząd Ochrony Danych Osobowych – informacje o skargach i zgłaszaniu naruszeń
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę