12.04.2018

RODO a odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych

Z dniem 25.5.2018 r. wchodzi w życie rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Rozporządzenie to będzie w polskim porządku prawnym stosowane bezpośrednio.

Nie odnosi się ono jednak do wszystkich kwestii regulowanych dotychczas przez ustawę z 29.8.1997 r. o ochronie danych osobowych. Rozporządzenie nie wprowadza m.in. odpowiedzialności karnej w razie jego naruszenia; kwestia ta podlega bowiem w prawie unijnym regulacji przez dyrektywy. W preambule RODO wskazano jednak, że państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie tego rozporządzenia, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach. Sankcje karne mogą również obejmować pozbawienie zysków wynikających z naruszenia RODO.

W chwili obecnej odpowiedzialność karna za naruszenie regulacji dotyczących ochrony danych osobowych ujęta jest przede wszystkim w rozdziale 8 ustawy z 29.8.1997 r. o ochronie danych osobowych i obejmuje: przetwarzanie w zbiorze danych osobowych, których przetwarzanie nie jest dopuszczalne albo danych do których przetwarzania sprawca nie jest uprawniony (art. 49), umyślne i nieumyślne udostępnianie danych osobom nieuprawnionym przez tego, kto administruje zbiorem danych lub jest obowiązany do ochrony danych osobowych (art. 51), umyślne i nieumyślne naruszanie przez tego, kto administruje danymi obowiązku zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem (art. 52), nie zgłoszenie, wbrew obowiązkowi, do rejestracji zbioru danych (art. 53), niedopełnienie przez tego, kto administruje zbiorem danych obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w ustawie o ochronie danych osobowych (art. 54) oraz udaremnianie lub utrudnianie inspektorowi wykonania czynności kontrolnej (art. 54a). Wymienione czyny zagrożone są grzywną, karą ograniczenia wolności, a nawet karą pozbawienia wolności.

Wskazane regulacje nie zostaną automatycznie uchylone w momencie wejścia w życie RODO; będą obowiązywać nadal w zakresie w jakim są z nim zgodne.

Należy mieć jednak na uwadze, że Ministerstwo Cyfryzacji przygotowało projekt nowej ustawy o ochronie danych osobowych, która ma zastąpić obowiązującą ustawę. W projekcie istotnie zmniejszono ilość czynów karalnych wskazując, że celem projektodawcy było ograniczenie przepisów karnych do niezbędnych z punktu widzenia systemu ochrony danych osobowych i przeniesienie punktu ciężkości reakcji na naruszanie przepisów o ochronie danych osobowych na prawo administracyjne i administracyjne kary pieniężne.

Obowiązujące regulacje karne zostały określone jako zbyt ogólne, co powodować ma problemy z ich stosowaniem w praktyce. Ponadto wskazano, że w razie potrzeby zastosowania sankcji karnej w zakresie szerszym niż proponowany w projekcie ustawy, istnieje możliwość skorzystania z innych obowiązujących przepisów np. ujętych w rozdziale XXXIII kodeksu karnego odnoszącym się do „Przestępstw przeciwko ochronie informacji”. Warto wskazać, że kodeks karny reguluję również kwestię przepadku korzyści pochodzących z przestępstwa, co można odnieść do postulowanego w RODO pozbawienia zysków wynikających z naruszenia tego rozporządzenia.

W projekcie Ministerstwa Cyfryzacji przewidziano zatem wykroczenie (zagrożone grzywną w wymiarze do 5.000 zł) polegające na udaremnianiu lub utrudnianiu kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych (art. 89.1) oraz przestępstwo polegające na przetwarzaniu danych, o których mowa w art. 9 rozporządzenia 2016/679, bez podstawy prawnej (art. 90.1), za które grozić ma grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.

W rządowym projekcie ustawy o ochronie danych osobowych złożonym następnie w Sejmie, przewidziano już jednak odpowiedzialność tylko za przestępstwa, będące w znacznej mierze powtórzeniem typów ujętych obecnie w art. 49 ust. 1 i 2 UODO (w projekcie art. 107 ust. 1 i 2) oraz w art. 54a (w projekcie art. 108). Projekt przewiduje zatem grzywnę, karę ograniczenia wolności albo pozbawienia wolności do 2 lat dla tego, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony. Jeżeli czyn taki dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega on grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech (art. 107 ust. 1 i 2). Ten, kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (art. 108).

Projekt ustawy został złożony w Sejmie w dniu 5.4.2018r. i obecnie jest na etapie I czytania.

Zobacz także:
29.11.2024

Ujawnienie tożsamości sygnalisty a odpowiedzialność karna

30.08.2024

Odpowiedzialność sygnalisty za dokonanie zgłoszenia lub ujawnienia publicznego pomimo wiedzy o braku naruszenia prawa

29.07.2024

Kto i w jakim zakresie ponosi odpowiedzialność za naruszenie obowiązków AML?

24.01.2024

Podmioty zbiorowe będą ścigane za przestępstwa środowiskowe

30.11.2023

Wzmożona aktywność UE: AML Package, MiCA i inne projekty – jakie zmiany czekają przedsiębiorców?

29.06.2023

Ocena ryzyka prania pieniędzy i jej znaczenie

29.09.2022

Ryzyko niezbadania ryzyka – odpowiedzialność za naruszenie obowiązków AML

21.09.2022

Planowane zmiany w zakresie odpowiedzialności podmiotów zbiorowych za czyny zabronione