Nielegalne przetwarzanie danych osobowych – jak wygląda obrona?
RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl
Przetwarzanie danych osobowych bez podstawy prawnej rodzi ryzyko zarówno administracyjnych kar pieniężnych z RODO, jak i odpowiedzialności karnej z ustawy o ochronie danych osobowych. W praktyce skuteczna obrona organizacji opiera się na wykazaniu, że przetwarzanie miało legalną podstawę albo że nie było działaniem umyślnym. Poniżej najważniejsze linie obrony.
Legalna podstawa przetwarzania
Pierwsza linia obrony to wykazanie, że istniała jedna z podstaw przetwarzania z art. 6 ust. 1 RODO: zgoda osoby, której dane dotyczą, niezbędność do wykonania umowy, obowiązek prawny ciążący na administratorze, ochrona żywotnych interesów, zadanie realizowane w interesie publicznym lub prawnie uzasadniony interes administratora. W przypadku danych szczególnych kategorii (np. o zdrowiu, pochodzeniu, poglądach) konieczna jest dodatkowa podstawa z art. 9 RODO, najczęściej wyraźna zgoda. Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) to administrator musi umieć wykazać, że spełnił wymogi – ciężar dowodu legalności spoczywa na nim.
Zgoda i prawnie uzasadniony interes
Aby zgoda była ważna, musi być dobrowolna, konkretna, świadoma i jednoznaczna, a osoba może ją w każdej chwili wycofać. Powołanie się na prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) wymaga z kolei przeprowadzenia testu równowagi: interes administratora (np. zapobieganie oszustwom, dochodzenie roszczeń) nie może przeważać nad podstawowymi prawami i wolnościami osoby. Warto ten test udokumentować, bo w razie sporu administrator będzie musiał wykazać, że dokonał takiej oceny.
Brak umyślności i dowody działań zgodności
W postępowaniu karnym istotne jest, że przepisy karne ustawy o ochronie danych osobowych (art. 107) sankcjonują przetwarzanie danych przez osobę nieuprawnioną. Wykazanie braku umyślności lub działania w przekonaniu o legalności może osłabić odpowiedzialność karną. Niezależnie od tego mocnym argumentem jest dokumentacja działań zgodności: rejestr czynności przetwarzania, oceny skutków dla ochrony danych (DPIA), szkolenia pracowników i audyty. Dowodzą one starannego, a nie umyślnie naruszającego podejścia administratora.
Jakie kary realnie grożą
Administracyjne kary pieniężne z RODO mogą sięgać do 20 mln euro albo 4% rocznego światowego obrotu (art. 83 RODO) – w zależności od kategorii naruszenia. Niezależnie od tego art. 107 ustawy o ochronie danych osobowych przewiduje za przetwarzanie danych bez podstawy prawnej grzywnę, karę ograniczenia wolności albo pozbawienia wolności do 2 lat, a w przypadku danych szczególnych kategorii nawet do 3 lat. Przykładem dotkliwej kary administracyjnej była decyzja Prezesa UODO wobec spółki Morele.net (kara w wysokości ok. 2,8 mln zł za niewystarczające zabezpieczenia).
Najczęstsze pytania
Jakie kary grożą za nielegalne przetwarzanie danych?
Możliwe są dwie ścieżki. Administracyjna kara pieniężna z RODO może wynieść do 20 mln euro lub 4% światowego obrotu (art. 83 RODO). Odpowiedzialność karna z art. 107 ustawy o ochronie danych osobowych to grzywna, ograniczenie wolności albo pozbawienie wolności do 2 lat, a przy danych szczególnych kategorii do 3 lat.
Czy osoba fizyczna może żądać odszkodowania za naruszenie danych?
Tak. Art. 82 RODO daje każdej osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia, prawo do odszkodowania od administratora lub podmiotu przetwarzającego. Administrator zwalnia się z odpowiedzialności tylko wtedy, gdy udowodni, że nie ponosi winy za zdarzenie.
Czy małe firmy są zwolnione z obowiązków RODO?
Nie ma ogólnego zwolnienia ze względu na wielkość firmy. RODO przewiduje jedynie pewne uproszczenia (np. obowiązek prowadzenia rejestru czynności przetwarzania nie zawsze dotyczy podmiotów poniżej 250 pracowników, ale z istotnymi wyjątkami). Zasada rozliczalności obowiązuje wszystkich administratorów.
Czy anonimizacja danych pomaga w zgodności z RODO?
Tak. Dane w pełni zanonimizowane, których nie da się powiązać z konkretną osobą, nie są danymi osobowymi i nie podlegają RODO. Należy odróżnić anonimizację (nieodwracalną) od pseudonimizacji, która jedynie ogranicza ryzyko, ale dane wciąż pozostają osobowymi.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę