Przestępstwa przeciwko ochronie danych osobowych – co grozi za nielegalne przetwarzanie?
RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl
Naruszenia ochrony danych osobowych rozpatruje się w Polsce na dwóch poziomach. Pierwszy to odpowiedzialność administracyjna i cywilna wynikająca z RODO – administracyjne kary pieniężne nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) oraz roszczenia odszkodowawcze osób, których dane dotyczą (art. 82 RODO). Drugi to odpowiedzialność karna, którą przewiduje ustawa z 10 maja 2018 r. o ochronie danych osobowych. To właśnie ta ustawa, a nie RODO, wprowadza zagrożenie karą pozbawienia wolności za nielegalne przetwarzanie danych.
Odpowiedzialność karna z art. 107 ustawy o ochronie danych osobowych
Zgodnie z art. 107 ust. 1 ustawy o ochronie danych osobowych, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli czyn dotyczy danych szczególnych kategorii – ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, dane o zdrowiu, seksualności, dane genetyczne lub biometryczne (art. 9 i 10 RODO) – górna granica kary wynosi 3 lata pozbawienia wolności (art. 107 ust. 2). Jest to przestępstwo umyślne, ścigane z oskarżenia publicznego (z urzędu).
Kara administracyjna z RODO to osobna ścieżka
Niezależnie od odpowiedzialności karnej administratora lub podmiotu przetwarzającego może spotkać administracyjna kara pieniężna nałożona przez PUODO. Górne pułapy określa art. 83 RODO – do 10 mln euro lub 2% rocznego światowego obrotu, a za cięższe naruszenia do 20 mln euro lub 4% obrotu (w zależności od tego, która kwota jest wyższa). Przy ustalaniu wysokości kary organ bierze pod uwagę m.in. charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych, stopień winy oraz współpracę z organem (art. 83 ust. 2 RODO).
Jak ograniczyć ryzyko – dokumentacja i rozliczalność
Kluczowa jest zasada rozliczalności (art. 5 ust. 2 RODO): to administrator musi być w stanie wykazać, że przetwarza dane zgodnie z prawem. Pomaga w tym rzetelna dokumentacja – rejestr czynności przetwarzania, analizy ryzyka, polityki i procedury, a w wymaganych przypadkach ocena skutków dla ochrony danych (DPIA). W organizacjach przetwarzających dane na dużą skalę lub dane szczególnych kategorii powołanie inspektora ochrony danych (IOD) jest obowiązkowe (art. 37 RODO). Regularne szkolenia personelu zmniejszają ryzyko nieumyślnych incydentów i stanowią dowód należytej staranności.
Najczęstsze pytania
Czym różni się kara z RODO od odpowiedzialności karnej?
Kara administracyjna z RODO (art. 83) to grzywna nakładana przez PUODO na administratora lub podmiot przetwarzający. Odpowiedzialność karna z art. 107 ustawy o ochronie danych osobowych dotyczy konkretnej osoby fizycznej i może oznaczać grzywnę, ograniczenie wolności lub pozbawienie wolności. Obie ścieżki mogą biec niezależnie.
Czy nieumyślne naruszenie danych jest przestępstwem?
Przestępstwo z art. 107 ustawy ma charakter umyślny – wymaga świadomego, niedopuszczalnego przetwarzania danych. Nieumyślny incydent (np. wyciek wskutek błędu) zwykle nie wypełnia tego znamienia, ale może skutkować administracyjną karą pieniężną z RODO i obowiązkiem zgłoszenia naruszenia do PUODO w ciągu 72 godzin.
Czy poszkodowany może żądać odszkodowania?
Tak. Art. 82 RODO daje osobie, która poniosła szkodę majątkową lub niemajątkową wskutek naruszenia, prawo do odszkodowania od administratora lub podmiotu przetwarzającego. Roszczenia dochodzi się przed sądem cywilnym.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę