Nielegalne przetwarzanie danych osobowych - jak bronić się przed odpowiedzialnością karną i karami UODO

Przetwarzanie danych osobowych bez podstawy prawnej naraża zarówno przedsiębiorcę, jak i konkretną osobę fizyczną na dwa równoległe reżimy odpowiedzialności. Pierwszy to odpowiedzialność administracyjna na gruncie RODO (rozporządzenie 2016/679), gdzie Prezes UODO może nałożyć dotkliwą karę pieniężną. Drugi to odpowiedzialność karna z art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, gdzie sprawcy grozi grzywna, ograniczenie wolności albo pozbawienie wolności. Skuteczna obrona zaczyna się od ustalenia, czy przetwarzanie miało jakąkolwiek podstawę z art. 6 lub art. 9 RODO, czy działanie było umyślne oraz jakie środki organizacyjne wdrożono. Poniżej omawiamy realne, oparte na polskim prawie linie obrony - od wykazania podstawy prawnej po brak winy umyślnej.

Dwa reżimy odpowiedzialności: kara administracyjna RODO i przestępstwo z art. 107 ustawy o ochronie danych

Najczęstszym błędem jest mylenie kary administracyjnej z odpowiedzialnością karną. Administracyjne kary pieniężne nakłada Prezes UODO na podstawie art. 83 RODO - do 10 mln euro lub 2% rocznego obrotu (naruszenia formalne, np. brak rejestru czynności) albo do 20 mln euro lub 4% obrotu (naruszenia zasad przetwarzania, w tym brak podstawy prawnej z art. 6). To postępowanie administracyjne, a nie karne. Odrębnie funkcjonuje przestępstwo z art. 107 ustawy o ochronie danych osobowych: kto przetwarza dane, choć ich przetwarzanie nie jest dopuszczalne albo do którego przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2; jeżeli czyn dotyczy danych szczególnych kategorii (art. 9 i 10 RODO - m.in. dane o zdrowiu, pochodzeniu, wyrokach), kara sięga do 3 lat. W praktyce ten sam stan faktyczny może rodzić obie odpowiedzialności jednocześnie, dlatego linia obrony musi być budowana dwutorowo.

Podstawa prawna przetwarzania - pierwsza i najsilniejsza linia obrony

Najmocniejszą obroną jest wykazanie, że przetwarzanie było legalne, bo opierało się na jednej z przesłanek z art. 6 ust. 1 RODO: zgoda osoby, niezbędność do wykonania umowy, obowiązek prawny ciążący na administratorze (np. przechowywanie dokumentacji księgowej na podstawie ustawy o rachunkowości), ochrona żywotnych interesów, zadanie realizowane w interesie publicznym albo prawnie uzasadniony interes administratora. W praktyce obrona polega na przedstawieniu dowodu, że w chwili przetwarzania istniała konkretna, udokumentowana podstawa. Przykład: pracodawca, któremu zarzuca się nielegalne przetwarzanie danych pracownika, wskazuje art. 22(1) Kodeksu pracy oraz obowiązki z ZUS i z prawa podatkowego. Jeżeli choćby jedna przesłanka z art. 6 jest spełniona, zarzut z art. 107 ustawy upada - czyn nie jest bezprawny.

Zgoda jako podstawa - kiedy jest ważna, a kiedy nie ratuje administratora

Zgoda (art. 6 ust. 1 lit. a oraz art. 7 RODO) musi być dobrowolna, konkretna, świadoma i jednoznaczna; przy danych szczególnych kategorii (art. 9 RODO) wymagana jest zgoda wyraźna. Ciężar wykazania, że zgoda została udzielona, spoczywa na administratorze (art. 7 ust. 1 RODO). Praktyczne kroki obrony: zachowanie formularzy zgody z datą, treścią klauzuli i informacją o prawie do cofnięcia, a także dziennik zmian w systemie CRM. Uwaga - zgoda nie jest uniwersalnym usprawiedliwieniem. Jeśli była wymuszona, ukryta w regulaminie albo dotyczyła innego celu niż faktycznie realizowany, sąd lub UODO uznają ją za nieważną. Cofnięcie zgody przez osobę w dowolnym momencie kończy podstawę przetwarzania na przyszłość, ale nie czyni wstecznie bezprawnym tego, co działo się wcześniej w okresie obowiązywania zgody.

Prawnie uzasadniony interes i obowiązek prawny - obrona dla działań bez zgody

Wiele zgodnych z prawem operacji nie wymaga zgody. Art. 6 ust. 1 lit. f RODO pozwala przetwarzać dane, gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora lub strony trzeciej (np. dochodzenie roszczeń, zapobieganie oszustwom, bezpieczeństwo sieci), o ile nie przeważają nad nimi prawa i wolności osoby. Aby ta obrona była przekonująca, należy przedstawić test równowagi (LIA - legitimate interest assessment) sporządzony przed rozpoczęciem przetwarzania, w którym administrator zważył swój cel i potencjalne ryzyko dla prywatności. Z kolei lit. c (obowiązek prawny) jest najtwardszą podstawą - np. przekazanie danych na żądanie sądu, prokuratury, organu podatkowego czy obowiązek z ustawy o przeciwdziałaniu praniu pieniędzy (AML). Tu obrona sprowadza się do wskazania konkretnego przepisu nakazującego przetwarzanie.

Brak winy umyślnej - dlaczego przypadkowe naruszenie nie jest przestępstwem z art. 107

Przestępstwo z art. 107 ustawy o ochronie danych można popełnić wyłącznie umyślnie (art. 8 Kodeksu karnego: zbrodnię można popełnić tylko umyślnie, występek także nieumyślnie tylko gdy ustawa tak stanowi - art. 107 nie przewiduje formy nieumyślnej). Oznacza to, że pracownik, który przez pomyłkę otworzył nie ten plik, albo administrator, u którego doszło do incydentu mimo wdrożonych zabezpieczeń, nie popełnia tego przestępstwa, bo brak mu zamiaru bezprawnego przetwarzania. Prokuratura musi udowodnić, że sprawca wiedział o braku podstawy i chciał danych przetwarzać lub godził się na to (zamiar bezpośredni lub ewentualny). Praktyczna obrona: wykazanie, że zdarzenie było wynikiem błędu organizacyjnego lub technicznego, a nie świadomego działania. To jednak nie chroni przed administracyjną karą RODO, która ma charakter obiektywny i nie wymaga winy umyślnej.

Środki organizacyjne i dokumentacja jako dowód należytej staranności

Na gruncie RODO administrator odpowiada za zasadę rozliczalności (art. 5 ust. 2) - musi być w stanie wykazać przestrzeganie zasad. Te same dokumenty stanowią najlepszą obronę w obu reżimach: rejestr czynności przetwarzania (art. 30 RODO), polityki ochrony danych, umowy powierzenia z podmiotami przetwarzającymi (art. 28 RODO), ocena skutków dla ochrony danych (DPIA, art. 35 RODO) tam, gdzie była wymagana, oraz dowody szkoleń pracowników. W postępowaniu administracyjnym UODO bierze pod uwagę przy wymiarze kary (art. 83 ust. 2 RODO) m.in. stopień współpracy, działania podjęte w celu zminimalizowania szkody i wdrożone zabezpieczenia. Udokumentowane proaktywne działania potrafią obniżyć karę lub doprowadzić do upomnienia zamiast kary pieniężnej (art. 58 ust. 2 lit. b RODO).

Reakcja na naruszenie: zgłoszenie do UODO i powiadomienie osób

Jeżeli już doszło do naruszenia ochrony danych, kluczowa jest szybka i prawidłowa reakcja, bo sama ona staje się elementem obrony. Art. 33 RODO nakazuje zgłosić naruszenie Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości w ciągu 72 godzin od stwierdzenia, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem dla praw i wolności osób. Gdy ryzyko jest wysokie, art. 34 RODO wymaga zawiadomienia samych osób, których dane dotyczą. Brak zgłoszenia jest odrębnym naruszeniem i bywa surowiej oceniany niż samo zdarzenie - sprawa Morele.net (kara ponad 2,8 mln zł, utrzymana następnie przez sądy administracyjne) pokazała, że organ ocenia całość postawy administratora, w tym to, jak zareagował. Praktyczne kroki: udokumentowanie momentu wykrycia, ocena ryzyka, zgłoszenie i zachowanie korespondencji z UODO.

Roszczenia cywilne osób, których dane dotyczą

Niezależnie od kary administracyjnej i odpowiedzialności karnej, osoba poszkodowana może dochodzić odszkodowania na podstawie art. 82 RODO za szkodę majątkową lub niemajątkową poniesioną wskutek naruszenia. W polskim porządku roszczenia te realizuje się przed sądem cywilnym, a uzupełniająco stosuje się przepisy Kodeksu cywilnego o ochronie dóbr osobistych (art. 23 i 24 k.c.) oraz o zadośćuczynieniu (art. 448 k.c.). Obrona przed roszczeniem cywilnym polega na wykazaniu braku szkody, braku związku przyczynowego między naruszeniem a szkodą albo na udowodnieniu, że administrator w żaden sposób nie ponosi winy za zdarzenie wywołujące szkodę (art. 82 ust. 3 RODO). Tu również decydująca jest dokumentacja wdrożonych zabezpieczeń.