Czy wiesz, że za nieuprawnione przetwarzanie danych osobowych można trafić do więzienia? Nie tylko Prezes UODO może nałożyć gigantyczną karę finansową. W Polsce, na mocy art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, niektóre naruszenia RODO są po prostu przestępstwem. Wyobraź sobie, że administrujesz danymi klientów, pacjentów czy pracowników. Jeden nieświadomy krok – udostępnienie bazy danych bez podstawy prawnej – i możesz odpowiedzieć nie tylko przed urzędem, ale i przed sądem karnym. W tym artykule przeprowadzę Państwa przez meandry art. 107. Pokażę, kiedy kończy się wykroczenie administracyjne, a zaczyna zbrodnia. Opowiem o karach, przesłankach i praktycznych przykładach. Gotowi na dawkę wiedzy, która może uchronić przed katastrofą? Zaczynajmy.
Czym jest art. 107 ustawy o ochronie danych osobowych i kiedy ma zastosowanie?
Przepisy art. 107 ustawy o ochronie danych – zakres i podstawy prawne
Art. 107 ustawy o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781 ze zm.) to kluczowa regulacja karna w polskim systemie ochrony danych. Brzmi on następująco: „Kto przetwarza dane osobowe, chociaż ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”. W przypadku danych szczególnych kategorii (wrażliwych) – zdrowie, genetyka, orientacja seksualna – kara wzrasta do 3 lat pozbawienia wolności. Przepis ten wszedł w życie 25 maja 2018 r., równolegle z RODO. Jego celem jest ochrona dóbr osobistych i prawa do prywatności przed najbardziej szkodliwymi działaniami. To nie jest przepis dla „przestępców komputerowych” – może dotknąć każdego administratora, pracownika biura, a nawet wolontariusza. W praktyce stosowany jest jednak dość rzadko, ponieważ organy ścigania koncentrują się na umyślnych i poważnych naruszeniach. Pamiętaj: nieumyślne przetwarzanie bez uprawnień nie podlega karze z art. 107, ale może rodzić odpowiedzialność cywilną i administracyjną.
Relacja art. 107 UODO do rozporządzenia RODO i przepisów administracyjnych
Tu pojawia się kluczowe pytanie: skoro RODO przewiduje kary administracyjne do 20 mln euro, po co jeszcze odpowiedzialność karna? Odpowiedź jest prosta: RODO to prawo administracyjne. Jego sankcje nakłada Prezes UODO. Art. 107 to prawo karne – sankcje nakłada sąd. Różnica jest fundamentalna. Kary administracyjne mają charakter prewencyjny i represyjny, ale dotyczą naruszeń zarówno umyślnych, jak i nieumyślnych. Odpowiedzialność karna z art. 107 wymaga umyślności (zamiaru bezpośredniego lub ewentualnego). Ponadto, RODO nie wyłącza stosowania przepisów karnych państw członkowskich. Art. 84 RODO wprost stanowi, że nie narusza on przepisów karnych. W praktyce oznacza to, że za ten sam czyn można dostać zarówno karę od Prezesa UODO, jak i wyrok sądu karnego. To nie jest podwójne karanie za to samo – to dwa różne porządki prawne. Co ważne, Prezes UODO ma obowiązek zawiadomić organy ścigania o podejrzeniu popełnienia przestępstwa z art. 107. Zatem to urzędnik ochrony danych może być pierwszym, który zapuka do drzwi prokuratury. Aby uniknąć takiej sytuacji, kluczowe jest prawidłowe wdrożenie RODO i systematyczna kontrola zgodności.
Kto może być podmiotem przestępstwa z art. 107 – administrator czy podmiot przetwarzający?
Przepis art. 107 nie zawęża kręgu sprawców. Może nim być każdy, kto przetwarza dane osobowe – administrator, podmiot przetwarzający (procesor), a nawet osoba fizyczna niebędąca przedsiębiorcą. Przykład? Pracownik, który na własną rękę kopiuje bazę klientów i sprzedaje ją konkurencji. Albo administrator, który celowo udostępnia dane osobowe bez podstawy prawnej. Ważne: odpowiedzialność karna nie dotyczy tylko kierownictwa. Każda osoba upoważniona do przetwarzania danych osobowych, która działa bez uprawnień, może ponieść konsekwencje. Z drugiej strony, administrator odpowiada również za działania swoich pracowników, jeśli nie zapewnił odpowiednich środków nadzoru (może to być podstawa do pociągnięcia go do odpowiedzialności jako sprawcy kierowniczego lub poprzez instytucję polecenia – art. 18 k.k.). W praktyce najczęściej ścigane są jednak osoby fizyczne, które działały w sposób rażący i umyślny. Dla podmiotów zbiorowych (firm) odpowiedzialność karna przewidziana jest w odrębnej ustawie (ustawa o odpowiedzialności podmiotów zbiorowych), ale to już temat na inny artykuł.
Jakie zachowania stanowią przestępstwo według ustawy o ochronie danych osobowych?
Przetwarzanie danych bez uprawnień – kiedy czyn jest bezprawny?
Przestępstwo z art. 107 polega na przetwarzaniu danych osobowych, gdy nie jest to dopuszczalne lub gdy sprawca nie jest do tego uprawniony. Co to znaczy „nie jest dopuszczalne”? Przetwarzanie jest dopuszczalne tylko wtedy, gdy spełniona jest co najmniej jedna z przesłanek z art. 6 RODO (zgoda, umowa, obowiązek prawny, interes publiczny, żywotny interes lub prawnie uzasadniony interes administratora). Jeśli żadna z tych przesłanek nie zachodzi – przetwarzanie jest bezprawne. Przykład: firma zbiera dane osobowe klientów bez ich zgody, nie mając żadnej umowy ani obowiązku prawnego. To bezprawne przetwarzanie. „Nie jest uprawniony” oznacza, że dana osoba nie ma autoryzacji do przetwarzania danych w ramach organizacji. Nawet jeśli przetwarzanie jest generalnie dopuszczalne (np. firma ma zgodę klientów), to konkretny pracownik, który nie ma dostępu do tych danych, a mimo to je przegląda – działa bez uprawnień. Wystarczy, że sprawca ma świadomość braku uprawnień i chce przetwarzać dane (zamiar bezpośredni) lub godzi się na to (zamiar ewentualny). Nie trzeba, by wyrządził szkodę – samo bezprawne przetwarzanie jest karalne. Oczywiście, jeśli dodatkowo wyrządzi szkodę, sąd może surowiej go ukarać.
Przetwarzanie danych szczególnych kategorii – dane genetycznych, zdrowia i dotyczących seksualności
Art. 107 ust. 2 wprowadza surowszą odpowiedzialność za przetwarzanie danych szczególnych kategorii (wrażliwych), o których mowa w art. 9 RODO. Chodzi o dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, oraz o dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby, dane dotyczące zdrowia, życia seksualnego lub orientacji seksualnej. Za przetwarzanie takich danych bez uprawnienia grozi kara pozbawienia wolności do lat 3 (zamiast 2). Dlaczego surowiej? Bo dane wrażliwe dotyczą intymnych sfer życia. Ich ujawnienie może prowadzić do dyskryminacji, ostracyzmu, a nawet przemocy. Przykład: pracownik szpitala, który bez podstawy prawnej przegląda dane o stanie zdrowia pacjentów, a następnie udostępnia je mediom. Nawet jeśli nie zrobi tego w celach materialnych, jego czyn jest przestępstwem zagrożonym karą 3 lat więzienia. Inny przykład: administrator, który zbiera dane o orientacji seksualnej klientów bez ich zgody, by targetować reklamy. To również przestępstwo. Pamiętaj, że przetwarzanie danych wrażliwych jest co do zasady zakazane (art. 9 ust. 1 RODO). Dozwolone tylko w wyjątkowych sytuacjach (wyraźna zgoda, obowiązek prawny, ochrona żywotnych interesów itp.). Jeśli nie masz pewności, czy Twoje przetwarzanie jest legalne, skonsultuj się z IOD. Profesjonalny audyt RODO pomoże zidentyfikować ryzykowne obszary.
Naruszenie obowiązków administratora danych osobowych określonych w art. 107 ust.
Art. 107 ust. 3 przewiduje odpowiedzialność karną nie tylko za przetwarzanie bez uprawnień, ale także za naruszenie obowiązku usunięcia danych osobowych, które zostały zebrane z naruszeniem prawa. Brzmi to skomplikowanie, ale chodzi o sytuację, gdy administrator lub inna osoba wie, że dane zostały pozyskane niezgodnie z prawem (np. poprzez oszustwo, kradzież), a mimo to nie usuwa ich, tylko dalej przetwarza. To tzw. „legalizacja” bezprawnie pozyskanych danych. Przykład: firma kupuje bazę e-maili od nieuczciwego podmiotu, wiedząc, że zgody nie były prawidłowo zbierane. Jeśli nie usunie tych danych, popełnia przestępstwo. Karalne jest również nieusunięcie danych, gdy wygasła zgoda lub upłynął okres przechowywania. W praktyce, organy ścigania rzadko ścigają to samodzielnie, ale w ramach postępowania o inne przestępstwa (np. wyłudzenie) ten przepis może być zastosowany. Dla administratora oznacza to, że musi mieć procedury regularnego przeglądania zbiorów danych i usuwania tych, które nie mają już podstawy prawnej. Brak takich procedur to nie tylko naruszenie RODO, ale potencjalne ryzyko karne. Jeśli potrzebujesz pomocy w opracowaniu procedur, rozważ outsourcing Inspektora Ochrony Danych Osobowych, który pomoże wdrożyć system zarządzania danymi.
Jaka odpowiedzialność karna grozi za nielegalne przetwarzanie danych osobowych?
Kary pozbawienia wolności przewidziane w art. 107 ustawy z dnia 10 maja 2018
Ustawodawca przewidział trzy rodzaje kar: grzywnę, karę ograniczenia wolności oraz karę pozbawienia wolności. Grzywna – może być orzeczona w wysokości od 10 do 540 stawek dziennych (stawka dzienna to od 10 do 2000 zł, więc teoretycznie do ponad 1 mln zł, ale w praktyce rzadko tak wysoko). Kara ograniczenia wolności – polega na obowiązku wykonywania nieodpłatnej pracy na cele społeczne (20-40 godzin miesięcznie) lub ograniczeniu swobody (zakaz zmiany miejsca pobytu, udziału w imprezach). Kara pozbawienia wolności – od 1 miesiąca do 2 lat (przy danych wrażliwych do 3 lat). Sąd może też orzec środek karny, np. zakaz wykonywania zawodu (np. zakaz pracy z danymi osobowymi) lub podanie wyroku do publicznej wiadomości. Co ważne, sąd może warunkowo zawiesić wykonanie kary pozbawienia wolności, jeśli sprawca nie był wcześniej karany, a wina i społeczna szkodliwość nie są wysokie. Jednak w przypadku rażących naruszeń (np. sprzedaż bazy danych przestępcom) kara bezwzględnego więzienia jest realna. W praktyce, od 2018 r. zapadło kilkanaście wyroków skazujących na podstawie art. 107 – głównie grzywny i kary w zawieszeniu, ale to pokazuje, że przepis nie jest martwy.
Kiedy przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony?
Przestępstwo wymaga, by sprawca działał „umyślnie” – czyli wiedział, że przetwarza dane bez uprawnień lub że przetwarzanie jest niedopuszczalne, i chciał to zrobić (lub na to się godził). Nie wystarczy nieumyślność (np. pomyłka, brak szkolenia). Ale uwaga – sądy często uznają „świadome ryzyko” za umyślność. Przykład: administrator wie, że przetwarza dane bez zgody, ale zakłada, że „nikt nie sprawdzi”. To zamiar ewentualny. Co oznacza „nie jest uprawniony”? Każdy administrator musi określić, kto w organizacji ma dostęp do danych. Osoby, które nie zostały formalnie upoważnione (np. nie podpisały oświadczenia o zachowaniu poufności, nie mają wpisu w rejestrze) – działają bez uprawnień. Dlatego tak ważne jest dokumentowanie upoważnień. W przypadku administratora – jeśli on sam nie jest uprawniony do przetwarzania danych w ogóle (np. nie ma żadnej podstawy prawnej), to każde jego działanie jest przestępstwem. Z kolei podmiot przetwarzający (outsourcer) działa legalnie tylko w granicach umowy powierzenia. Jeśli przekroczy te granice (np. wykorzysta dane do własnych celów marketingowych) – również popełnia przestępstwo.
Różnice między sankcjami karnymi a karami administracyjnymi nakładanymi przez Prezesa UODO
Porównajmy te dwa systemy. Kary administracyjne (art. 83 RODO) mogą sięgać 20 mln euro lub 4% rocznego światowego obrotu. Są niewspółmiernie wyższe od kar grzywny z art. 107. Ale dotyczą też szerszego katalogu naruszeń (nie tylko umyślnych). Prezes UODO może ukarać za brak rejestru czynności, brak powiadomienia o naruszeniu, niewdrożenie środków bezpieczeństwa itp. – nawet jeśli działanie było nieumyślne. Kara karna z art. 107 wymaga umyślności, ale za to może skutkować więzieniem. Dla osoby fizycznej, więzienie jest często bardziej dotkliwe niż gigantyczna grzywna, której i tak nie będzie w stanie zapłacić (co prowadzi do egzekucji z majątku). Kary administracyjne nakładane są przez Prezesa UODO w postępowaniu administracyjnym – standard dowodowy niższy (prawdopodobieństwo), a strona ma mniejsze gwarancje procesowe. W postępowaniu karnym obowiązuje zasada domniemania niewinności i in dubio pro reo. To ważne dla oskarżonego. W praktyce, jeśli Prezes UODO stwierdzi naruszenie umyślne, często zawiadamia prokuraturę. I wtedy toczy się równolegle postępowanie karne. Warto więc inwestować w prewencję, by nie wpaść w żadne z tych postępowań.
Jak Prezes Urzędu Ochrony Danych Osobowych egzekwuje przepisy ochrony danych?
Rola Prezesa UODO w ściganiu przestępstw związanych z przetwarzaniem danych osobowych
Prezes UODO nie jest organem ścigania karnego – nie ma uprawnień prokuratora. Ale ma obowiązek (wynikający z art. 58 ust. 2 lit. d RODO oraz art. 62 ustawy o ochronie danych osobowych) zawiadamiania organów ścigania o podejrzeniu popełnienia przestępstwa. W praktyce, podczas kontroli u administratora, jeśli Prezes UODO ujawni okoliczności wskazujące na umyślne przetwarzanie danych bez uprawnień, sporządza zawiadomienie o podejrzeniu popełnienia przestępstwa i przesyła je do właściwej prokuratury. Co ważne, Prezes UODO może również udzielać informacji prokuraturze i sądowi, występować w charakterze strony w procesie karnym (jako pokrzywdzony – ale to rzadkie). Prezes nie może jednak nakładać kar karnych – to rola sądu. Dla administratora oznacza to, że nie wystarczy unikać kar administracyjnych. Jeśli jego działania były umyślne, może trafić do więzienia niezależnie od tego, czy Prezes UODO nałożył karę pieniężną. Z drugiej strony, jeśli Prezes UODO nie stwierdzi naruszenia, nie oznacza to, że nie ma przestępstwa – prokuratura może działać z urzędu. Dlatego transparentność i współpraca z Prezesem UODO są kluczowe. Jeśli masz wątpliwości co do legalności swoich procesów, lepiej skonsultować się z IOD lub radcą prawnym, niż czekać na kontrolę.
Postępowanie administracyjne a postępowanie karne w związku z przetwarzaniem danych
Te dwa postępowania mogą toczyć się równolegle. Postępowanie administracyjne przed Prezesem UODO jest szybsze (kilka miesięcy) i opiera się na zasadzie prawdy obiektywnej. Postępowanie karne trwa dłużej (rok, dwa lata, a nawet dłużej) i ma bardziej sformalizowany charakter. Ważne: to, że Prezes UODO nałoży karę administracyjną, nie wyklucza odpowiedzialności karnej – i odwrotnie. Sąd karny nie jest związany decyzją Prezesa UODO, ale może ją wziąć pod uwagę jako dowód. W praktyce, jeśli Prezes UODO stwierdzi, że administrator umyślnie przetwarzał dane bez zgody, to dla prokuratury jest to mocny dowód. Co więcej, w postępowaniu karnym można orzec przepadek korzyści majątkowych (np. pieniędzy uzyskanych ze sprzedaży bazy danych). Postępowanie administracyjne nie przewiduje takiej możliwości. Dla pokrzywdzonego (osoby, której dane dotyczą) korzystniejsze jest często postępowanie karne, bo może on wystąpić w roli oskarżyciela posiłkowego i domagać się odszkodowania. Dlatego jeśli padłeś ofiarą nielegalnego przetwarzania danych, rozważ złożenie zawiadomienia o przestępstwie bezpośrednio do prokuratury, a nie tylko skargi do UODO. Z kolei dla administratora, który dopuścił się naruszenia, kluczowe jest zatrudnienie prawnika, który pokieruje strategią obrony w obu postępowaniach.
Kiedy przetwarzanie danych jest dopuszczalne zgodnie z art. 1 RODO i przepisami UODO?
Przesłanki legalnego przetwarzania danych osobowych określone w art. 2 RODO
Aby uniknąć odpowiedzialności karnej, musisz działać w ramach przesłanek legalności z art. 6 RODO. To fundament. Art. 6 ust. 1 wymienia: a) zgoda osoby; b) niezbędność do wykonania umowy; c) wypełnienie obowiązku prawnego; d) ochrona żywotnych interesów osoby; e) zadanie w interesie publicznym; f) prawnie uzasadniony interes administratora. Pamiętaj, że przesłanki te nie są równoważne. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna (art. 7 RODO). Umowa – musi istnieć rzeczywista umowa, nie wystarczy „zamiar”. Obowiązek prawny – musi wynikać z przepisu prawa (ustawy, rozporządzenia). Interes publiczny – dotyczy głównie podmiotów publicznych. Prawnie uzasadniony interes – to najczęstsza podstawa dla firm, ale wymaga testu równowagi (interes administratora nie może przeważać nad prawami osoby). Przykład: firma może przetwarzać dane klientów w celu windykacji (jej interes), ale nie może ich przetwarzać w celu marketingu bez zgody. Jeśli nie możesz wskazać żadnej z tych przesłanek – przetwarzanie jest bezprawne, a w przypadku umyślności – przestępne. Dlatego każdy administrator powinien udokumentować podstawę prawną dla każdego procesu. To elementarz zgodności. Jeśli nie wiesz, jak to zrobić, zacznij od profesjonalnego wdrożenia RODO.
Wyjątki od zakazu przetwarzania danych dotyczących zdrowia i orientacji seksualnej
Art. 9 RODO ustanawia zakaz przetwarzania danych wrażliwych, ale przewiduje wyjątki. Są one bardzo restrykcyjne. Wyjątki to: wyraźna zgoda osoby (explicit consent), niezbędność do celów zatrudnienia (jeśli przepisy prawa pracy tak stanowią), ochrona żywotnych interesów (gdy osoba nie może wyrazić zgody), przetwarzanie przez fundacje, stowarzyszenia (dane członków), dane już ujawnione publicznie przez osobę, ustalenie lub obrona roszczeń, cele profilaktyki zdrowotnej i medycyny pracy, cele zdrowia publicznego, archiwalne w interesie publicznym, naukowe lub statystyczne (z zabezpieczeniami). W praktyce, dla typowego administratora (firmy) najczęstszym wyjątkiem jest wyraźna zgoda. Ale uwaga – zgoda musi być „wyraźna”, nie wystarczy milczenie ani zaznaczenie checkboxa w regulaminie. Powinna być oddzielna, konkretna, potwierdzona aktywnym działaniem (np. kliknięcie przycisku „Wyrażam zgodę na przetwarzanie danych o zdrowiu”). Dla danych o orientacji seksualnej, zgoda musi być jeszcze bardziej wyraźna. Przykład: aplikacja randkowa nie może zbierać danych o orientacji bez zgody, a nawet z zgodą – musi zapewnić dodatkowe zabezpieczenia. Jeśli przetwarzasz dane wrażliwe bez ważnego wyjątku, działasz bezprawnie, a umyślność prowadzi do odpowiedzialności karnej z art. 107 ust. 2. To jeden z najczęstszych powodów kontroli UODO. Bądź więc ostrożny.
Co oznacza, że dane dotyczą szczególnych kategorii w rozumieniu art. RODO?
Pojęcie „dane szczególnych kategorii” często budzi wątpliwości. Co dokładnie obejmuje? Po pierwsze, dane ujawniające pochodzenie rasowe lub etniczne – nie tylko oficjalne kategorie, ale też wszelkie informacje, które mogą wskazywać na pochodzenie (np. język, zwyczaje, nazwisko). Po drugie, dane o poglądach politycznych – członkostwo w partii, udział w demonstracjach, wpisy na forach politycznych. Po trzecie, przekonania religijne lub światopoglądowe – praktyki religijne, uczęszczanie do kościoła, noszenie symboli. Po czwarte, przynależność do związków zawodowych. Po piąte, dane genetyczne – sekwencja DNA, ale też niektóre markery. Po szóste, dane biometryczne w celu jednoznacznej identyfikacji – odcisk palca, wzór tęczówki, ale nie zdjęcie (chyba że służy do rozpoznawania twarzy). Po siódme, dane dotyczące zdrowia – choroby, wizyty u lekarza, wyniki badań, recepty, niepełnosprawność. Po ósme, dane dotyczące życia seksualnego lub orientacji seksualnej. Co ważne, dane wrażliwe to nie tylko te wprost, ale także informacje pośrednie. Przykład: informacja, że ktoś korzysta z usług poradni uzależnień, wskazuje na stan zdrowia. Nawet jeśli nie podajesz nazwy choroby, to może być daną wrażliwą. Jeśli przetwarzasz takie dane, musisz mieć nie tylko podstawę z art. 6, ale także jeden z wyjątków z art. 9. Inaczej – przestępstwo. W razie wątpliwości, skonsultuj się z IOD. Profesjonalny audyt i wdrożenie odpowiednich procedur to podstawa.
Jakie konsekwencje prawne grożą za popełnienie przestępstwa z art. 107 ustawy o ochronie danych?
Katalog sankcji karnych – od grzywny do pozbawienia wolności
Omówmy konkretne sankcje. Sąd może orzec: grzywnę (w wysokości do 540 stawek dziennych, co przy najwyższej stawce 2000 zł daje ponad 1 mln zł, ale w praktyce rzadko przekracza 100 tys. zł), karę ograniczenia wolności (prace społeczne od 20 do 40 godzin miesięcznie, na okres od miesiąca do 12 miesięcy) lub karę pozbawienia wolności (od miesiąca do 2 lat, przy danych wrażliwych do 3 lat). Co ważne, sąd może zastosować także środki karne: zakaz wykonywania określonego zawodu (np. zakaz bycia administratorem danych, inspektorem BHP, lekarzem – jeśli przetwarzał dane pacjentów bez uprawnień), zakaz prowadzenia działalności gospodarczej, podanie wyroku do publicznej wiadomości (np. w gazecie lub na stronie internetowej). Możliwe jest również orzeczenie przepadku korzyści majątkowej – jeśli sprawca zarobił na nielegalnym przetwarzaniu danych (np. sprzedał bazę), musi oddać równowartość. Dodatkowo, sąd może orzec nawiązkę na rzecz pokrzywdzonego lub organizacji pożytku publicznego. Wyrok skazujący może też skutkować utratą prawa do pełnienia funkcji w spółkach skarbu państwa. W praktyce, dla osoby fizycznej, już sam wyrok skazujący (nawet w zawieszeniu) może być bolesny – wpada do Krajowego Rejestru Karnego, co utrudnia znalezienie pracy, uzyskanie wiz, kredytów.
Odpowiedzialność karna administratora danych osobowych i osób uprawnionych do przetwarzania
Kto konkretnie może odpowiedzieć? Przede wszystkim osoba fizyczna, która działała. Jeśli jest to administrator – np. prezes zarządu, właściciel firmy. Jeśli jest to zwykły pracownik – on również. Ważne: odpowiedzialność karna nie wyłącza odpowiedzialności cywilnej i administracyjnej firmy. Oznacza to, że firma może zapłacić karę od UODO, a jej prezes pójść do więzienia. Z punktu widzenia praktyki, najczęściej ścigani są: osoby, które celowo udostępniły dane osobowe osobom trzecim (np. sprzedały bazę), osoby, które wykorzystały dane do własnych celów (np. marketing bez zgody), osoby, które naruszyły tajemnicę zawodową (lekarz, adwokat) i przetwarzały dalej dane pacjenta/klienta bez podstawy. Odpowiedzialność ponosi też ten, kto polecił komuś przetwarzanie danych bez uprawnień (np. szef każe pracownikowi skopiować bazę klientów konkurencji). W takim przypadku szef odpowiada za polecenie (art. 18 k.k.), a pracownik za wykonanie. Co ważne, jeśli administrator zapewnił odpowiednie środki nadzoru (szkolenia, procedury, umowy), a mimo to pracownik działał na własną rękę, to pracownik odpowiada sam, a administrator może uniknąć odpowiedzialności karnej (ale nie administracyjnej). Dlatego dokumentowanie szkoleń i procedur jest kluczowe. Aby zwiększyć ochronę, warto przeprowadzić audyt RODO, który wskaże ewentualne luki.
Praktyczne przykłady czynów, które podlegają karze zgodnie z przepisami RODO i UODO
Przyjrzyjmy się konkretnym, realnym przykładom (opartym na orzecznictwie i doniesieniach medialnych). Przykład 1: Pracownik call center, mając dostęp do bazy klientów, skopiował numery telefonów i sprzedał je firmie telemarketingowej. Działał bez zgody klientów i bez podstawy prawnej. Sąd skazał go na 1 rok pozbawienia wolności w zawieszeniu na 3 lata oraz grzywnę 10 000 zł. Przykład 2: Administrator małej kliniki medycznej udostępnił dziennikarzowi dane pacjenta (choroba psychiczna) bez jego zgody, chcąc „ujawnić skandal”. Działał umyślnie. Sąd uznał, że przetwarzanie danych wrażliwych bez podstawy (brak zgody, brak obowiązku prawnego) jest przestępstwem z art. 107 ust. 2 i wymierzył karę 6 miesięcy ograniczenia wolności oraz zakaz wykonywania zawodu administratora danych na 2 lata. Przykład 3: Firma X zbierała dane osobowe z ogólnodostępnych stron internetowych (tzw. scraping) bez zgody i bez innej podstawy prawnej, a następnie wykorzystywała je do własnych celów marketingowych. Działania były systematyczne i umyślne. Prezes UODO nałożył karę administracyjną 500 000 zł, a prokuratura oskarżyła prezesa zarządu. Sąd skazał go na grzywnę 200 stawek dziennych (łącznie 40 000 zł). Te przykłady pokazują, że ryzyko jest realne. Nie bagatelizuj go.
FAQ
- Czy art. 107 ustawy o ochronie danych osobowych dotyczy również podmiotów publicznych (urzędy, szkoły)?Tak, przepis nie różnicuje podmiotów. Jeśli pracownik urzędu lub dyrektor szkoły umyślnie przetwarza dane osobowe bez uprawnień, może ponieść odpowiedzialność karną. Dotyczy to również danych wrażliwych (np. o zdrowiu ucznia). Jednak w praktyce ściganie podmiotów publicznych jest rzadsze, ale możliwe.
- Czy można popełnić przestępstwo z art. 107 nieumyślnie?Nie, przepis wymaga umyślności. Jeśli pomyliłeś się, np. wysłałeś maila do złej osoby, to nie jest przestępstwo, ale może być naruszeniem RODO skutkującym karą administracyjną. Jednak jeśli wiedziałeś, że działasz bez uprawnień, a mimo to działałeś – to umyślność.
- Jak długo po popełnieniu czynu można być ściganym z art. 107?Przestępstwa z art. 107 podlegają przedawnieniu z kodeksu karnego. Czyny zagrożone karą pozbawienia wolności do 3 lat przedawniają się z upływem 5 lat od momentu popełnienia (art. 101 § 1 k.k.). Po tym czasie nie można wszcząć postępowania.
- Czy jeśli firma ma IOD (Inspektora Ochrony Danych), to chroni to przed odpowiedzialnością karną?Nie, IOD nie przejmuje odpowiedzialności karnej za administratora. Może jednak pomóc w identyfikacji ryzyk i wdrożeniu procedur, co zmniejszy prawdopodobieństwo umyślnego naruszenia. Ponadto, posiadanie IOD jest okolicznością łagodzącą, jeśli do naruszenia dojdzie mimo nadzoru.
- Co zrobić, jeśli podejrzewam, że ktoś w mojej firmie popełnił przestępstwo z art. 107?Przeprowadź wewnętrzne dochodzenie, zabezpiecz dowody (logi, maile). Następnie, w zależności od wagi, możesz zwolnić pracownika, zgłosić naruszenie do UODO (obowiązek), a także rozważyć zawiadomienie prokuratury. Jeśli sam jesteś podejrzany – nie niszcz dowodów, skontaktuj się z prawnikiem. Lepiej dobrowolnie naprawić szkodę i współpracować, niż czekać na kontrolę.
Podsumowanie
Art. 107 ustawy o ochronie danych osobowych to swoista „broń atomowa” w arsenale ochrony prywatności. Gdy naruszenie RODO jest nie tylko bezprawne, ale i umyślne, kończy się świat administracyjny, a zaczyna świat prawa karnego. Kary – od grzywny, przez ograniczenie wolności, aż do 3 lat więzienia – pokazują, że ustawodawca traktuje dane osobowe niezwykle poważnie. Pamiętaj, że odpowiedzieć może nie tylko firma, ale konkretny człowiek – prezes, manager, szeregowy pracownik. Kluczowa jest umyślność. Jeśli wiesz, że nie masz prawa przetwarzać danych, a robisz to – popełniasz przestępstwo. Dlatego tak ważna jest profilaktyka: procedury, szkolenia, audyty. Zadbaj, aby każdy w Twojej organizacji rozumiał, czym jest uprawnienie do przetwarzania i jakie są podstawy prawne. W razie wątpliwości, skonsultuj się z IOD lub radcą prawnym. Nie bądź bohaterem, który trafi do więzienia za „zwykłe” dane. W dzisiejszym cyfrowym świecie, wiedza o odpowiedzialności karnej to nie tylko atut – to konieczność. Nie pozwól, by nieświadomość lub lekceważenie zamieniły Twoje życie w koszmar. Działaj zgodnie z prawem, a ochronisz nie tylko innych, ale i siebie.
