Odpowiedzialność karna za naruszenia ochrony danych

Wszystkie czyny zabronione, z którymi ustawa o ochronie danych osobowych wiąże odpowiedzialność karną, są przestępstwami, które według Kodeksu karnego stanowią tak zwany występek. Zostały one wskazane w rozdziale 8 uodo.

Przestępstwo umyślne określone w art. 49 ust. 1 uodo w brzmieniu „kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne, albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” wskazuje na dwie zasadnicze cechy.

Pierwszą z nich jest konieczność przetwarzania danych w zbiorze (ustawowa definicja zbioru znajduje się w art. 7 ustawy). Drugą cechą jest „niedopuszczalność przetwarzania” albo „dopuszczalność, ale przez kogoś nieuprawnionego”. Żeby stwierdzić, czy przetwarzanie jest w ogóle dopuszczalne, należy dokonać kolejnego odesłania do ustawy, tj. do art. 23, który wymienia pięć przesłanek niezależnych dopuszczających przetwarzanie. Zasadniczo legitymowanie się jedną z nich przez administratora jest wystarczające dla stwierdzenia dopuszczalności przetwarzania. Jeśli przetwarzamy dane wrażliwe, to pomimo ogólnego zakazu przetwarzania danych art. 27 wskazuje na katalog przesłanek dopuszczających.

Zgodnie z przepisami każdy, kto administrując zbiorem danych lub będąc obowiązanym do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (art. 51 uodo).

Przestępstwo to ma charakter indywidualny, czyli może je popełnić ktoś, kto administruje zbiorem lub osoba zobowiązana do ochrony zbioru danych. Taką osobą może być ktoś upoważniony do przetwarzania, ale również może to być pracownik firmy ochroniarskiej, który nie ma dostępu jako takiego do samych danych osobowych, ale jest odpowiedzialny za fizyczną ochronę pomieszczenia, w którym znajdują się dokumenty czy nośniki elektroniczne z danymi osobowymi.

Jak wskazuje ustawa „Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku” (art. 52 uodo).

Sprawca (wyłącznie administrujący danymi) może dokonać tego przestępstwa poprzez samo zaniechanie. Przepis ten koresponduje głównie z art. 36 ust. 1, który zobowiązuje administratora danych do takiego zabezpieczenia organizacyjnego i technicznego danych osobowych, aby uniemożliwić wystąpienie powyższych okoliczności.

Przestępstwa związanego z niedopełnieniem obowiązku rejestracyjnego administrujący zbiorem może dopuścić się poprzez niedopełnienie obowiązków (zaniechanie). „Kto będąc do tego obowiązany nie zgłasza do rejestru zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku” (art. 53 uodo).

Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w ustawie o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Treść zacytowanego wyżej art. 54 odnosi się do występku polegającego na niedopełnieniu przez administratora danych obowiązku informacyjnego względem osób, których dane przetwarza. ADO powinien powiadomić je o adresie swojej siedziby, celu zbierania danych, prawie dostępu i źródle danych.

Ostatnim przepisem karnym i zarazem najpóźniej wprowadzonym do ustawy jest art. 54a. „Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.

Potrzeba wprowadzenia tego przepisu dojrzewała wraz z doświadczeniem inspekcyjnym kontrolerów biura GIODO, którzy, wykonując swoją pracę, napotykali na działania ze strony administratorów danych lub ich pracowników zmierzające do uniemożliwienia czy utrudnienia sprawnego przeprowadzenia kontroli.