12.04.2018

RODO a odpowiedzialność karna za naruszenie przepisów o ochronie danych osobowych

Z dniem 25.5.2018 r. wchodzi w życie rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Rozporządzenie to będzie w polskim porządku prawnym stosowane bezpośrednio.

Nie odnosi się ono jednak do wszystkich kwestii regulowanych dotychczas przez ustawę z 29.8.1997 r. o ochronie danych osobowych. Rozporządzenie nie wprowadza m.in. odpowiedzialności karnej w razie jego naruszenia; kwestia ta podlega bowiem w prawie unijnym regulacji przez dyrektywy. W preambule RODO wskazano jednak, że państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie tego rozporządzenia, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach. Sankcje karne mogą również obejmować pozbawienie zysków wynikających z naruszenia RODO.

W chwili obecnej odpowiedzialność karna za naruszenie regulacji dotyczących ochrony danych osobowych ujęta jest przede wszystkim w rozdziale 8 ustawy z 29.8.1997 r. o ochronie danych osobowych i obejmuje: przetwarzanie w zbiorze danych osobowych, których przetwarzanie nie jest dopuszczalne albo danych do których przetwarzania sprawca nie jest uprawniony (art. 49), umyślne i nieumyślne udostępnianie danych osobom nieuprawnionym przez tego, kto administruje zbiorem danych lub jest obowiązany do ochrony danych osobowych (art. 51), umyślne i nieumyślne naruszanie przez tego, kto administruje danymi obowiązku zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem (art. 52), nie zgłoszenie, wbrew obowiązkowi, do rejestracji zbioru danych (art. 53), niedopełnienie przez tego, kto administruje zbiorem danych obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w ustawie o ochronie danych osobowych (art. 54) oraz udaremnianie lub utrudnianie inspektorowi wykonania czynności kontrolnej (art. 54a). Wymienione czyny zagrożone są grzywną, karą ograniczenia wolności, a nawet karą pozbawienia wolności.

Wskazane regulacje nie zostaną automatycznie uchylone w momencie wejścia w życie RODO; będą obowiązywać nadal w zakresie w jakim są z nim zgodne.

Należy mieć jednak na uwadze, że Ministerstwo Cyfryzacji przygotowało projekt nowej ustawy o ochronie danych osobowych, która ma zastąpić obowiązującą ustawę. W projekcie istotnie zmniejszono ilość czynów karalnych wskazując, że celem projektodawcy było ograniczenie przepisów karnych do niezbędnych z punktu widzenia systemu ochrony danych osobowych i przeniesienie punktu ciężkości reakcji na naruszanie przepisów o ochronie danych osobowych na prawo administracyjne i administracyjne kary pieniężne.

Obowiązujące regulacje karne zostały określone jako zbyt ogólne, co powodować ma problemy z ich stosowaniem w praktyce. Ponadto wskazano, że w razie potrzeby zastosowania sankcji karnej w zakresie szerszym niż proponowany w projekcie ustawy, istnieje możliwość skorzystania z innych obowiązujących przepisów np. ujętych w rozdziale XXXIII kodeksu karnego odnoszącym się do „Przestępstw przeciwko ochronie informacji”. Warto wskazać, że kodeks karny reguluję również kwestię przepadku korzyści pochodzących z przestępstwa, co można odnieść do postulowanego w RODO pozbawienia zysków wynikających z naruszenia tego rozporządzenia.

W projekcie Ministerstwa Cyfryzacji przewidziano zatem wykroczenie (zagrożone grzywną w wymiarze do 5.000 zł) polegające na udaremnianiu lub utrudnianiu kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych (art. 89.1) oraz przestępstwo polegające na przetwarzaniu danych, o których mowa w art. 9 rozporządzenia 2016/679, bez podstawy prawnej (art. 90.1), za które grozić ma grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.

W rządowym projekcie ustawy o ochronie danych osobowych złożonym następnie w Sejmie, przewidziano już jednak odpowiedzialność tylko za przestępstwa, będące w znacznej mierze powtórzeniem typów ujętych obecnie w art. 49 ust. 1 i 2 UODO (w projekcie art. 107 ust. 1 i 2) oraz w art. 54a (w projekcie art. 108). Projekt przewiduje zatem grzywnę, karę ograniczenia wolności albo pozbawienia wolności do 2 lat dla tego, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony. Jeżeli czyn taki dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega on grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech (art. 107 ust. 1 i 2). Ten, kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (art. 108).

Projekt ustawy został złożony w Sejmie w dniu 5.4.2018r. i obecnie jest na etapie I czytania.

Zobacz także:
16.08.2018

Spory sądowe w zakładzie ubezpieczeń – rola compliance

09.08.2018

Split payment – nowe możliwości i zagrożenia

09.07.2018

Wewnętrzne procedury antykorupcyjne – strata czasu czy dobra inwestycja?

21.06.2018

Projektowane zmiany w zakresie odpowiedzialności karnej podmiotów zbiorowych

25.05.2018

Compliance i marketing w zakładzie ubezpieczeń

07.05.2018

Skarga na wyrok uchylający sądu odwoławczego jako nowy środek zaskarżenia w postępowaniu karnym

12.03.2018

Ustawa o jawności życia publicznego a tymczasowe aresztowanie

05.03.2018

Ustawa o jawności życia publicznego – komentarz do projektu