Przekazanie wrażliwych informacji za granicę - jakie grożą sankcje i jak się bronić?
RODO i dane osobowe · 5 min czytania · Redakcja zaufanyprawnik.pl
Pojęcie "przekazania wrażliwych informacji podmiotom zagranicznym" obejmuje w polskim prawie dwie zupełnie różne sytuacje, które często myli się ze sobą. Pierwsza to transfer danych osobowych poza Europejski Obszar Gospodarczy - reguluje go RODO (rozdział V) i ustawa o ochronie danych osobowych, a sankcją jest przede wszystkim administracyjna kara pieniężna nakładana przez Prezesa UODO. Druga to ujawnienie informacji prawnie chronionych - tajemnicy przedsiębiorstwa, tajemnicy zawodowej czy informacji niejawnych - co może być przestępstwem ściganym z Kodeksu karnego, włącznie ze szpiegostwem (art. 130 KK), gdy odbiorcą jest wywiad obcego państwa. Linia obrony zależy więc całkowicie od tego, w którym reżimie znalazła się Twoja sprawa. Poniżej rozkładamy oba na czynniki pierwsze i pokazujemy, gdzie szukać argumentów obronnych.
Dwa reżimy odpowiedzialności - administracyjny i karny
To rozróżnienie jest kluczowe, bo decyduje o całej strategii. Reżim administracyjny (RODO): jeżeli chodzi o dane osobowe klientów, pacjentów czy pracowników wysłane do firmy spoza EOG bez właściwej podstawy, sprawą zajmuje się Prezes Urzędu Ochrony Danych Osobowych (UODO), a maksymalna kara to 20 mln euro albo 4 proc. rocznego światowego obrotu, w zależności która kwota jest wyższa (art. 83 ust. 5 RODO). To postępowanie administracyjne, nie karne - nie ma tu wyroku ani wpisu do rejestru karnego. Reżim karny (KK): jeżeli ujawniono tajemnicę przedsiębiorstwa, tajemnicę zawodową lub informacje niejawne, sprawą zajmuje się prokuratura i sąd karny, grozi kara pozbawienia wolności, a w skrajnym wariancie - przekazania informacji obcemu wywiadowi - mówimy o zbrodni szpiegostwa zagrożonej karą do dożywocia. Pierwsza czynność obrońcy to zawsze precyzyjne ustalenie, jaki charakter mają przekazane informacje i kto jest organem prowadzącym.
Transfer danych osobowych poza EOG - kiedy jest legalny
RODO nie zakazuje przekazywania danych za granicę - określa warunki, na jakich jest to dopuszczalne. Transfer do państwa trzeciego (spoza EOG) jest legalny, gdy spełniona jest jedna z przesłanek z rozdziału V RODO: (1) decyzja Komisji Europejskiej o odpowiednim stopniu ochrony danego kraju (art. 45 RODO - tzw. decyzja adekwatności); (2) odpowiednie zabezpieczenia z art. 46 RODO, najczęściej standardowe klauzule umowne (SCC) zatwierdzone przez Komisję lub wiążące reguły korporacyjne (BCR); (3) wyjątki z art. 49 RODO, np. wyraźna zgoda osoby świadomej ryzyka albo niezbędność transferu do wykonania umowy. Po wyroku TSUE w sprawie Schrems II (C-311/18) samo zawarcie SCC nie wystarczy - administrator musi dodatkowo ocenić, czy prawo kraju odbiorcy faktycznie zapewnia ochronę (transfer impact assessment), i wdrożyć środki uzupełniające, np. szyfrowanie. Brak którejkolwiek z tych podstaw oznacza transfer nielegalny.
Najczęstsze pytania
Czy przekazanie danych osobowych za granicę jest w ogóle legalne?
Tak, RODO go nie zakazuje, ale stawia warunki. Transfer poza EOG jest dozwolony, gdy istnieje decyzja adekwatności Komisji (art. 45 RODO), odpowiednie zabezpieczenia jak standardowe klauzule umowne lub wiążące reguły korporacyjne (art. 46 RODO) albo zachodzi wyjątek z art. 49 RODO, np. wyraźna zgoda osoby. Po wyroku Schrems II trzeba też ocenić realny poziom ochrony w kraju odbiorcy.
Jaka kara grozi za nielegalny transfer danych osobowych?
To kara administracyjna nakładana przez Prezesa UODO, nie kara więzienia. Maksymalnie wynosi 20 mln euro albo 4 proc. rocznego światowego obrotu firmy, w zależności która kwota jest wyższa (art. 83 ust. 5 RODO). Jej wysokość zależy od wagi naruszenia, winy i współpracy z organem. Od decyzji można złożyć skargę do sądu administracyjnego.
Czym różni się ujawnienie danych osobowych od ujawnienia tajemnicy firmy?
To dwa różne reżimy. Dane osobowe chroni RODO (sankcja administracyjna UODO). Tajemnicę przedsiębiorstwa - know-how, bazy klientów - chroni art. 23 ustawy o zwalczaniu nieuczciwej konkurencji (do 2 lat więzienia), a tajemnicę zawodową art. 266 KK. To samo zdarzenie może naruszyć kilka reżimów naraz.
Kiedy przekazanie informacji za granicę staje się szpiegostwem?
Gdy odbiorcą jest obcy wywiad działający przeciwko Polsce. Art. 130 KK karze gromadzenie lub przekazywanie wywiadowi wiadomości szkodliwych dla RP karą od 3 lat wzwyż, a przekazanie informacji "ściśle tajnych" - nawet dożywociem. To zbrodnia przeciwko państwu, całkowicie odrębna od spraw o ochronę danych.
Co zrobić, gdy doszło do wycieku danych do firmy spoza UE?
Jeśli naruszenie może powodować ryzyko dla osób, administrator ma obowiązek zgłosić je Prezesowi UODO w ciągu 72 godzin (art. 33 RODO) i w razie potrzeby zawiadomić osoby (art. 34 RODO). Szybkie zgłoszenie, dokumentacja i działania naprawcze realnie obniżają ewentualną karę. Warto od razu skonsultować się z prawnikiem.
Powiązane poradniki
- Nielegalne pozyskiwanie informacji z systemów IT - odpowiedzialność karna i RODO
- Nielegalne pozyskanie danych z systemu informatycznego — jakie są linie obrony?
- Nielegalne pozyskiwanie danych z systemów transportowych - jak wygląda obrona?
- Prawnik od cyberbezpieczeństwa w lotnictwie - czym się zajmuje?
Podstawa prawna i źródła
- Rozporządzenie 2016/679 (RODO) - rozdział V (art. 44-49) oraz art. 83 (administracyjne kary pieniężne)
- Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny (art. 130, 265, 266)
- Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (art. 11, 23)
- Urząd Ochrony Danych Osobowych - przekazywanie danych do państw trzecich
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Opisz sprawę