W maju 2018 roku weszło w życie Rozporządzenie Parlamentu Europejskiego Rady UE 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO). Rozporządzenie to nałożyło wiele nowych obowiązków na podmioty przetwarzające dane osobowe. W przypadku nieprzestrzegania tych przepisów przewidziano szereg sankcji o różnym charakterze.
Sankcje administracyjne
Podmiot danych, czyli osoba, której dane osobowe są przetwarzane, może złożyć skargę do organu nadzoru. W Polsce tę funkcję pełni Prezes Urzędu Ochrony Danych Osobowych (UODO). Po zakończonym postępowaniu, Prezes UODO wydaje decyzję administracyjną, w której, w przypadku stwierdzenia naruszenia, może nałożyć karę pieniężną w wysokości do 10 mln EURO albo w wysokości do 2% całkowitego, rocznego, światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, a w przypadku poważniejszych naruszeń w wysokości do 20 mln EURO albo w wysokości do 4% całkowitego, rocznego, światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.
Należy pamiętać o tym, że są to górne granice i rzadko kiedy nakładane w rzeczywistości kary ich sięgają. Niemniej kary nawet „średniej” wysokości, czy też wręcz łagodne (w porównaniu z sankcjami nakładanymi za podobne naruszenia w innych państwach Unii Europejskiej) mogą być bardzo dotkliwe dla przedsiębiorców. Prawodawca unijny postanowił, że kary pieniężne nakładane za naruszenia RODO mają być skuteczne, proporcjonalne i odstraszające. Z uwagi na konieczność miarkowania kary tak, aby była ona proporcjonalna, w każdym przypadku bierze się pod uwagę indywidualne okoliczności.
Są to w szczególności:
- charakter, waga i czas trwania naruszenia przy jednoczesnym uwzględnieniu charakteru, zakresu lub celu danego przetwarzania;
- liczba poszkodowanych osób, których dane dotyczą oraz rozmiar poniesionej przez nie szkody;
- umyślny lub nieumyślny charakter naruszenia;
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych przez nich wdrożonych;
- wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
- stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
- kategorie danych osobowych, których dotyczyło naruszenie.
Decyzje Prezesa UODO
Wszystkie te okoliczności mają istotne znaczenie dla wymiaru kary, co jest widoczne w decyzjach wydawanych przez Prezesa UODO. Przykładowo, w październiku 2021 roku Bank Millennium został ukarany karą w wysokości ponad 363 tys. zł za niezgłoszenie naruszenia oraz niepowiadomienie w pełni osób, których dane były przetwarzane o zdarzeniu, przy czym żadna nieuprawniona osoba nie weszła w posiadanie danych osobowych. Natomiast we wrześniu 2019 roku spółka Morele.net została ukarana karą w wysokości ponad 2,8 mln zł za niedostateczne zabezpieczenie przetwarzanych danych osobowych, co doprowadziło do ich wycieku w wyniku ataku hakerskiego.
Od decyzji Prezesa UODO przysługuje skarga do sądu administracyjnego. Niemniej jednak praktyka pokazuje, że większość takich spraw przed warszawskim WSA wygrywa Prezes UODO.
Oprócz możliwości nałożenia kar Prezes UODO może jeszcze w toku postępowania zobowiązać dany podmiot do ograniczenia przetwarzania danych osobowych. W decyzji takiej wskazywany jest dopuszczalny zakres tego przetwarzania. Warunkiem jest uprawdopodobnienie, że przetwarzanie danych osobowych narusza przepisy, a dalsze ich przetwarzanie może spowodować poważne, trudne do usunięcia skutki.
Odpowiedzialność cywilna
Niezależnie od złożenia skargi do Prezesa UODO, podmiot danych może także dochodzić obrony swoich praw na drodze procesu cywilnego. RODO przewiduje tu dwa rodzaje powództw. Pierwsze dotyczy przywrócenia stanu zgodnego z prawem, czyli zaprzestania naruszeń (czy to w wyniku podjęcia czy też zaniechania określonych działań). Drugie to powództwo o odszkodowanie. Zgodnie z art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
Co istotne, w procesie wytoczonym na tej podstawie, mamy do czynienia z tzw. odwróconym ciężarem dowodowym. To nie powód musi udowodnić, że pozwany ponosi odpowiedzialność za szkodę, a wręcz przeciwnie. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli to oni udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
Powództwo o ochronę dóbr osobistych
Ponadto podmiot danych może wytoczyć powództwo o ochronę dóbr osobistych na podstawie art. 24 k.c. Żądaniem pozwu może być żądanie zaniechania nieuprawnionego naruszania dóbr osobistych, czy usunięcie skutków naruszenia. Pozwany posiada tu także roszczenie o odszkodowanie za powstałą szkodę majątkową lub zadośćuczynienie za poniesioną krzywdę. W postępowaniu tym również występuje odwrócony ciężar dowodowy, jednak dotyczy on tylko wykazania braku bezprawności naruszenia. Dlatego też z perspektywy podmiotu danych korzystniejsze jest wnoszenie powództwa w oparciu o przepisy RODO. W praktyce często pozwy wskazują jako podstawy żądania zarówno przepisy Rozporządzenia RODO, jak i kodeksu cywilnego.
Co prawda podmiot danych, który wybiera ścieżkę cywilną musi liczyć się z pewnymi kosztami, jak chociażby opłata od pozwu. Niewątpliwą zachętę stanowi jednak fakt, że narzędzie to pozwala osobom, których danych dotyczyło naruszenie, na uzyskanie finansowej rekompensaty. (W przeciwieństwie do trybu administracyjnego, w którym środki z tytułu nakładanych przez Prezesa UODO kar pieniężnych trafiają do budżetu państwa). Należy przy tym pamiętać, że zgodnie z praktyką orzeczniczą polskich sądów odszkodowania zasądzane na rzecz podmiotów danych nie są wysokie. W szczególności kwoty te wydają się niskie w porównaniu z karami pieniężnymi nakładanymi przez Prezesa UODO. Przykładowo, w sprawie, w której ubezpieczyciel przekazał osobie poszkodowanej zbyt wiele informacji na temat właścicielki polisy, sąd zasądził zadośćuczynienie w wysokości zaledwie 1,5 tys. zł.
Przepisy karnoprawne
Po wejściu w życie Rozporządzenia RODO znaczącym zmianom uległy polskie przepisy karnoprawne dotyczące ochrony danych osobowych. Zmiany te, jeszcze kiedy były dopiero na etapie prac legislacyjnych, omawialiśmy tutaj.
Aktualnie ustawa o ochronie danych osobowych penalizuje dwa typy czynów zabronionych.
Zgodnie z art. 107 u.o.d.o. kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Wprowadzono też typ kwalifikowany dotyczący przetwarzania danych szczególnie wrażliwych, tj. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej – za to sprawcy grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat trzech. Katalog danych wrażliwych warunkujący surowszą odpowiedzialność jest zamknięty.
Jest to przestępstwo powszechne, co oznacza, że popełnić je może każdy kto nielegalnie przetwarza dane osobowe. Może to więc być nie tylko członek zarządu, czy menedżer, ale nawet szeregowy pracownik. Co więcej, odpowiedzialność karną z art. 107 u.o.d.o. może ponosić wiele osób niezależnie od siebie. Przedstawienie zarzutów np. kierownikowi działu sprzedaży, który przetwarza dane osobowe kupujących, którzy nie wyrazili na to zgody, nie zwolni z odpowiedzialności karnej specjalisty ds. sprzedaży pracującego w tym dziale, jeśli on również przetwarzał te dane osobowe.
Wydawałoby się, że jest to przykład przestępstwa, za które odpowiedzialność mógłby ponosić podmiot zbiorowy, w którym nielegalnie przetwarzano dane osobowe. Jednak na gruncie aktualnie obowiązujących przepisów nie ma podstaw do pociągnięcia go do odpowiedzialności karnej za ten czyn. Nadal jednak podmiot zbiorowy będzie za takie naruszenia odpowiadał administracyjnie oraz cywilnie.
Jest to tzw. przestępstwo formalne, czy też bezskutkowe. Karalne jest samo nielegalne przetwarzanie danych osobowych, niezależnie od tego czy dla podmiotu danych wiązało się to z negatywnymi konsekwencjami. Oczywiście okoliczność taka czy wskutek przestępstwa osoba, której dane przetwarzano poniosła szkodę nie jest bez znaczenia. Będzie ona jednak miała wpływ co najwyżej na wymiar kary.
Szkoda pokrzywdzonego
Wyrządzenie szkody nielegalnym przetwarzaniem danych nie jest jednym ze znamion przestępstwa z art. 107 u.o.d.o. Pomimo tego przyjmuje się jednak, że osoba, której dane były nielegalnie przetwarzane, posiada w takich sprawach status pokrzywdzonego. Oznacza to, że może ona korzystać z uprawnień strony postępowania, czyli np. składać wnioski dowodowe, czy zaskarżać decyzje procesowe. Ponadto może domagać się orzeczenia na jej rzecz naprawienia szkody albo nawiązki.
Brak współpracy z organem nadzoru w ramach postępowania administracyjnego stanowi nie tylko możliwą podstawę nałożenia wyższej kary pieniężnej przez UODO. Okoliczność taka może także stać się podstawą odpowiedzialności karnej. Zgodnie z art. 108 u.o.d.o. kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Tej samej karze podlega każdy kto w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.
To przestępstwo także ma charakter powszechny. Może zostać popełnione przez osobę uprawnioną do reprezentacji kontrolowanego podmiotu, ale także przez pracownika oddelegowanego do kontaktu z organem nadzoru. Nie ma ono jednak charakteru formalnego. Innymi słowy, aby można było mówić o popełnieniu przestępstwa musi wystąpić skutek w postaci udaremnienia lub utrudnienia kontroli. W przypadku tego czynu zabronionego podmiot danych, których przetwarzanie stanowi przedmiot kontroli, nie będzie posiadał statusu pokrzywdzonego.
Postępowanie karne oczami praktyki
Ściganie przestępstw z art. 107 i 108 u.o.d.o. następuje z urzędu – nie jest tu konieczny żaden wniosek o ściganie. W praktyce najczęściej postępowania w tych sprawach prowadzone są z zawiadomienia UODO lub osób, których dane osobowe były nielegalnie przetwarzane.
Ustawowy wymiar kary za te czyny zabronione jest szeroki i w teorii sprawcy może grozić tu nawet kara pozbawienia wolności. W praktyce jednak sądy w tego typu sprawach najczęściej orzekają grzywny. Te jednak mogą okazać się bardzo dotkliwe – górna granica wynosi aż 1.080.000 zł. Kwota ta stanowi iloczyn dwóch czynników: sąd orzeka grzywnę w stawkach dziennych określając ich wysokość. Bierze przy tym pod uwagę stopień winy oraz sytuację materialną oskarżonego. Dlatego też zupełnie innej kary może spodziewać się prezes zarządu spółki posiadającej wielomilionowe obroty, który podjął decyzję o przetwarzaniu danych osobowych wbrew zasadom RODO, mając na celu zwiększenie dochodów spółki, niż szeregowy pracownik takiej spółki, który nielegalnie przetwarzał dane osobowe w ramach swoich obowiązków służbowych.
Jak pokazują statystyki policyjne, zmiany legislacyjne dotyczące ochrony danych osobowych nie wpłynęły drastycznie na ilość prowadzonych w tych sprawach postępowań. W latach 2016-2017, czyli przed wejściem w życie zmienionych przepisów karnoprawnych, wszczęto w tych sprawach odpowiednio 387 i 374 postępowań. W przejściowym roku 2018 wszczęto ich 309, w 2019 – 330, a w 2020 roku – 440 postępowań karnych. Obserwowalny jest przy tym znaczny wzrost stwierdzonych i wykrytych przestępstw dotyczących ochrony danych osobowych, co obrazuje poniższy wykres.
Poza ustawą o ochronie danych osobowych istnieją także inne akty prawne wprowadzające odpowiedzialność karną osób naruszających przepisy RODO.
Przede wszystkim może dojść do zbiegu z przepisami Rozdziału XXXIII Kodeksu karnego, w którym zebrane są przestępstwa przeciwko ochronie informacji. W przypadku nieuprawnionego ujawnienia lub wykorzystania przetwarzanych danych osobowych w związku z pełnioną funkcją grozi odpowiedzialność z art. 266 k.k. Uzyskanie bez uprawnienia dostępu do danych osobowych w wyniku przełamania zabezpieczeń będzie wiązało się z odpowiedzialnością z art. 267 k.k. Zgodnie z RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są jej dane osobowe. Jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich. Utrudnianie osobie uprawnionej zapoznania się z tymi informacjami może wyczerpywać znamiona przestępstwa z art. 268 k.k. Co istotne, skazanie za przestępstwo z tego rozdziału kodeksu karnego wiąże się z zakazem pełnienia funkcji członka zarządu, rady nadzorczej, komisji rewizyjnej, likwidatora albo prokurenta na podstawie art. 18 § 2 k.s.h.
Poza tym np. pracodawca, który pomimo braku szczególnych podstaw prawnych żąda od kandydata na pracownika danych o karalności i je przetwarza może także ponosić odpowiedzialność karną na podstawie art. 25 ustawy o Krajowym Rejestrze Karnym.
Podsumowanie
Jak widać naruszanie zasad dotyczących przetwarzania danych osobowych może wiązać się z dotkliwymi sankcjami. Niektóre z nich będą bardziej dotkliwe dla podmiotu zbiorowego, w którym przetwarzane są dane osobowe. Inne będą dotykały poszczególnych osób zajmujących się przetwarzaniem tych danych. Dlatego ustalenie zasad prawidłowego przetwarzania danych osobowych i ich przestrzeganie powinno stanowić jeden z istotnych elementów compliance każdego przedsiębiorcy. Dotyczy to w szczególności przedsiębiorców z gałęzi e-commerce ze względu na przetwarzanie dużej ilości danych osobowych, niezbędnych do wysyłki towaru.
