Niedopuszczalne przetwarzanie danych osobowych — odpowiedzialność i obrona
RODO i dane osobowe · 1 min czytania · Redakcja zaufanyprawnik.pl
Pojęcia „dane niejawne” i „dane osobowe” bywają mylone, choć to dwa różne reżimy prawne. Informacje niejawne (np. opatrzone klauzulą „tajne”) chroni ustawa o ochronie informacji niejawnych i właściwe przepisy Kodeksu karnego o ochronie informacji. Ten artykuł dotyczy natomiast najczęstszej w praktyce sytuacji — niedopuszczalnego przetwarzania danych osobowych, regulowanego przez RODO oraz polską ustawę o ochronie danych osobowych z 2018 r. To na jej gruncie pojawia się odpowiedzialność karna za bezprawne przetwarzanie.
Podstawa prawna przetwarzania i kiedy jest ono bezprawne
Zgodnie z art. 6 RODO każde przetwarzanie danych osobowych musi opierać się na jednej z podstaw prawnych (np. zgoda, umowa, obowiązek prawny, prawnie uzasadniony interes). Dane szczególnych kategorii — dotyczące m.in. zdrowia, pochodzenia rasowego lub etnicznego, przekonań — podlegają surowszym wymogom z art. 9 RODO. Przetwarzanie bez podstawy prawnej, mimo wycofania zgody albo wbrew skutecznemu sprzeciwowi, jest bezprawne i może rodzić odpowiedzialność administracyjną oraz karną.
Odpowiedzialność karna z art. 107 ustawy o ochronie danych osobowych
Art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych przewiduje, że kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli czyn dotyczy danych szczególnych kategorii (art. 9 i 10 RODO), górna granica wzrasta do 3 lat. Odpowiedzialność karną mogą ponieść m.in. pracownicy przekraczający swoje upoważnienie oraz podmioty przetwarzające naruszające umowę powierzenia.
Sankcje administracyjne, postępowanie i obrona
Niezależnie od odpowiedzialności karnej naruszenia RODO mogą skutkować administracyjnymi karami pieniężnymi nakładanymi przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) — sięgającymi w najpoważniejszych przypadkach do 20 mln euro lub 4% rocznego światowego obrotu przedsiębiorstwa (art. 83 RODO). Osoba, której dane naruszono, może też dochodzić odszkodowania w postępowaniu cywilnym (art. 82 RODO). Obrona w sprawie karnej opiera się zwykle na wykazaniu istnienia podstawy prawnej przetwarzania, działania w granicach upoważnienia oraz braku umyślności — przepis karny wymaga, by sprawca działał świadomie. Pomocne jest udokumentowanie procedur zgodności, polityk i szkoleń.
Najczęstsze pytania
Jaka kara grozi za nielegalne przetwarzanie danych osobowych?
Art. 107 ustawy o ochronie danych osobowych przewiduje grzywnę, karę ograniczenia wolności albo pozbawienia wolności do 2 lat, a w przypadku danych szczególnych kategorii — do 3 lat. Niezależnie od tego grożą administracyjne kary pieniężne nakładane przez PUODO.
Czy pracownik może odpowiadać za przetwarzanie danych?
Tak. Odpowiedzialność karną może ponieść osoba fizyczna, w tym pracownik, który przetwarza dane przekraczając swoje upoważnienie, oraz podmiot przetwarzający naruszający umowę powierzenia. Warunkiem jest jednak świadome (umyślne) działanie.
Gdzie zgłosić naruszenie ochrony danych osobowych?
Skargę składa się do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), co uruchamia postępowanie administracyjne. Poszkodowany może też dochodzić odszkodowania na drodze cywilnej (art. 82 RODO), a w razie przestępstwa zawiadomić organy ścigania.
Na czym polega obrona w sprawie o nielegalne przetwarzanie danych?
Najczęściej na wykazaniu istnienia podstawy prawnej przetwarzania (art. 6 lub 9 RODO), działania w granicach upoważnienia oraz braku umyślności. Pomocne są dowody wdrożonych procedur, polityk ochrony danych i odbytych szkoleń.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę