Nielegalne przetwarzanie i handel danymi osobowymi – jakie są konsekwencje prawne?
RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl
Nielegalne przetwarzanie danych osobowych oraz handel nimi może pociągać za sobą odpowiedzialność na kilku poziomach: administracyjną (kary nakładane przez Prezesa Urzędu Ochrony Danych Osobowych), karną oraz cywilną wobec osób poszkodowanych. System ochrony danych w Polsce opiera się na unijnym RODO oraz ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych, które razem określają zasady legalnego przetwarzania i sankcje za ich naruszenie.
Kiedy przetwarzanie danych jest nielegalne
Przetwarzanie jest zgodne z prawem tylko wtedy, gdy istnieje jedna z podstaw z art. 6 RODO (np. zgoda, umowa, obowiązek prawny, prawnie uzasadniony interes). Dane szczególnej kategorii (m.in. o zdrowiu, pochodzeniu, poglądach) podlegają surowszej ochronie art. 9 RODO i co do zasady wymagają wyraźnej zgody lub innej wąsko określonej podstawy. Przetwarzanie bez podstawy prawnej, udostępnianie danych bez zgody czy sprzedaż baz danych narusza te zasady.
Odpowiedzialność karna za przetwarzanie bez uprawnienia
Ustawa o ochronie danych osobowych wprowadza przepisy karne. Art. 107 penalizuje przetwarzanie danych, gdy ich przetwarzanie nie jest dopuszczalne albo gdy sprawca nie jest do tego uprawniony – grozi za to grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2, a w przypadku danych szczególnej kategorii (art. 9 i 10 RODO) do lat 3. Czyn ma charakter umyślny, ścigany z urzędu, i może popełnić go każda osoba fizyczna, nie tylko przedsiębiorca.
Administracyjne kary pieniężne RODO
Niezależnie od odpowiedzialności karnej Prezes UODO może nałożyć administracyjną karę pieniężną. RODO przewiduje dwa pułapy: do 10 mln euro lub 2% rocznego światowego obrotu oraz – za najpoważniejsze naruszenia, np. zasad przetwarzania i praw osób – do 20 mln euro lub 4% obrotu, w zależności od tego, która kwota jest wyższa. Postępowanie zwykle inicjuje skarga osoby, której dane dotyczą, lub kontrola UODO.
Jak ograniczyć ryzyko i chronić dane
Podstawą jest ustalenie i udokumentowanie podstawy prawnej każdego procesu przetwarzania, prawidłowe pozyskiwanie i zarządzanie zgodami (z możliwością ich wycofania) oraz wdrożenie środków technicznych i organizacyjnych: kontroli dostępu, szyfrowania, rejestru czynności przetwarzania i procedur zgłaszania naruszeń. Naruszenia ochrony danych co do zasady zgłasza się do UODO bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia.
Najczęstsze pytania
Jaka kara grozi za nielegalne przetwarzanie danych osobowych?
Art. 107 ustawy o ochronie danych osobowych przewiduje grzywnę, ograniczenie wolności albo pozbawienie wolności do 2 lat, a w przypadku danych szczególnej kategorii do 3 lat. Niezależnie od tego Prezes UODO może nałożyć administracyjną karę pieniężną na podstawie RODO.
Czy osoba prywatna może odpowiadać za handel danymi?
Tak. Przestępstwo z art. 107 może popełnić każda osoba fizyczna przetwarzająca dane bez uprawnienia, np. pracownik kopiujący bazę klientów. Odpowiedzialność nie jest ograniczona do firm i administratorów danych.
Czy poszkodowany może żądać odszkodowania?
Tak. Na podstawie art. 82 RODO osoba, która poniosła szkodę majątkową lub niemajątkową wskutek naruszenia, może dochodzić odszkodowania na drodze cywilnej, niezależnie od kar nakładanych przez UODO.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę