Nielegalne przetwarzanie danych osobowych - jakie obrony przysługują?
RODO i dane osobowe · 2 min czytania · Redakcja zaufanyprawnik.pl
Przetwarzanie danych osobowych bez podstawy prawnej może rodzić zarówno odpowiedzialność administracyjną (kary Prezesa UODO na podstawie RODO), jak i odpowiedzialność karną (art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych). To jednak nie oznacza automatycznej winy. Prawo przewiduje legalne podstawy przetwarzania oraz okoliczności, które wyłączają lub łagodzą odpowiedzialność. Poniżej omawiamy najczęstsze linie obrony i to, jak je udokumentować.
Zgoda i prawnie uzasadniony interes jako podstawy legalnego przetwarzania
RODO w art. 6 ust. 1 wymienia podstawy legalnego przetwarzania danych. Najczęściej powoływane to zgoda (lit. a) oraz prawnie uzasadniony interes administratora (lit. f). Zgoda musi być dobrowolna, świadoma, konkretna i jednoznaczna, a w przypadku danych szczególnej kategorii (art. 9 RODO) wymagana jest zgoda wyraźna. Osoba, której dane dotyczą, może ją w każdej chwili wycofać. Powołanie się na prawnie uzasadniony interes wymaga z kolei przeprowadzenia tzw. testu równowagi (LIA), w którym administrator ocenia, czy jego interes nie jest nadrzędny wobec praw i wolności osoby. Wykazanie istnienia jednej z tych podstaw jest najsilniejszą obroną przed zarzutem nielegalnego przetwarzania.
Brak umyślności i obowiązek wykazania zgodności
Czyn z art. 107 ustawy o ochronie danych osobowych jest przestępstwem umyślnym. Oznacza to, że przypadkowe lub nieumyślne udostępnienie danych co do zasady nie wyczerpuje jego znamion, choć może rodzić odpowiedzialność administracyjną lub cywilną. Z drugiej strony RODO nakłada na administratora zasadę rozliczalności (art. 5 ust. 2) - to administrator musi umieć wykazać, że przetwarza dane zgodnie z prawem. Dlatego rzetelna dokumentacja (rejestr czynności przetwarzania, zapisy zgód, oceny testu równowagi) jest jednocześnie elementem zgodności i materiałem dowodowym w razie sporu.
Kary i postępowanie
Na poziomie administracyjnym RODO przewiduje kary do 20 mln euro lub do 4% rocznego światowego obrotu przedsiębiorstwa - w zależności od kategorii naruszenia (niższy próg to 10 mln euro / 2%). Na poziomie karnym art. 107 ustawy o ochronie danych osobowych przewiduje grzywnę, karę ograniczenia wolności albo pozbawienia wolności do 2 lat, a przy danych szczególnej kategorii do 3 lat. Skargę na nieprawidłowe przetwarzanie danych można złożyć do Prezesa Urzędu Ochrony Danych Osobowych (UODO).
Najczęstsze pytania
Jakie kary grożą za nielegalne przetwarzanie danych osobowych?
Na gruncie RODO grożą administracyjne kary pieniężne do 20 mln euro lub 4% rocznego światowego obrotu (niższy próg: 10 mln euro / 2%). Niezależnie, art. 107 ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną: grzywnę, ograniczenie wolności albo pozbawienie wolności do 2 lat, a w przypadku danych szczególnej kategorii do 3 lat.
Czy firma może wykorzystać dane do marketingu bez zgody?
Marketing bezpośredni bywa uznawany za prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO), jednak prowadzenie komunikacji elektronicznej (e-mail, SMS, telefon) wymaga dodatkowo zgody na podstawie Prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną. W praktyce dla wielu działań marketingowych zgoda pozostaje konieczna, a dla danych wrażliwych - zawsze.
Gdzie zgłosić nielegalne przetwarzanie moich danych?
Skargę składa się do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Można to zrobić pisemnie lub elektronicznie. Im więcej szczegółów (kto, jakie dane, w jakich okolicznościach), tym sprawniejsze postępowanie.
Powiązane poradniki
Podstawa prawna i źródła
Treść ma charakter informacyjny i edukacyjny — nie stanowi porady prawnej. W indywidualnej sprawie skonsultuj się ze zweryfikowanym prawnikiem.
Masz podobną sprawę?
Opisz ją — dobierzemy zweryfikowanego prawnika.
Zgłoś sprawę