Unijna reforma przepisów, wprowadzona ogólnym rozporządzeniem o ochronie danych osobowych (General Data Protection Regulation – GDPR), weszła w życie 24 maja 2016 r. Przepisy będą jednak stosowane dopiero od 25 maja 2018 r. Ponieważ zgodnie z treścią art. 288 Traktatu o funkcjonowaniu Unii Europejskiej, rozporządzenie ma zasięg ogólny, wiąże w całości i jest bezpośrednio stosowane we wszystkich Państwach Członkowskich. Ten akt prawny nie wymaga również implementacji do krajowego porządku prawnego. Brak konieczności implementacji, nie oznacza jednak, że stosowanie GDPR, nie będzie wymagało zmian w polskich przepisach regulujących przetwarzanie danych osobowych.
Przede wszystkim, niezbędnym będzie, uchylenie z polskiego porządku prawnego, obowiązującej obecnie ustawy o ochronie danych osobowych (UODO), oraz przyjęcie nowej ustawy, która będzie regulowała obszary pominięte w regulacji europejskiej lub co do których GDPR pozostawia Państwom Członkowskim swobodę doprecyzowania przepisów. Takim obszarem, jest określenie odpowiedzialności karnej, za przestępstwa związane, ze sprzecznym z ustawą przetwarzaniem danych osobowych. Warto zatem postawić pytanie, czy w nowej, polskiej ustawie powinny znaleźć się przepisy karne, tym bardziej że GDPR wprowadza wysokie sankcje administracyjne, oraz możliwość dochodzenia swoich roszczeń w trybie cywilnoprawnym.
Penalizacja w ustawie o ochronie danych osobowych
Obowiązująca obecnie ustawa o ochronie danych osobowych przewiduje sześć typów przestępstw. Do odpowiedzialności karnej może zostać pociągnięta osoba, która:
- przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo, do których przetwarzania nie jest uprawniona (art. 49 UODO),
- administrując zbiorem danych lub będąc obowiązana do ochrony danych osobowych, udostępnia je, lub umożliwia dostęp do nich osobom nieupoważnionym (art. 51 UODO),
- administrując danymi narusza, choćby nieumyślnie, obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem (art. 52 UODO ),
- będąc do tego obowiązana, nie zgłasza do rejestracji zbioru danych (art. 53 UODO),
- administrując zbiorem danych, nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych w tejże ustawie, oraz (art. 54 UODO),
- inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej (art. 54a UODO).
Wszystkie ww. przestępstwa są występkami ściganymi z urzędu. Przestępstwa określone w art. 49, art. 53, art. 54 i art. 54a ustawy o ochronie danych osobowych można popełnić tylko umyślnie, natomiast występki określone w art. 51 i art.52 ww. ustawy, również nieumyślnie[1]. Warto podkreślić, że przyjęty w Polsce model odpowiedzialności z tytułu uchybień w procesie przetwarzania danych osobowych, w przeciwieństwie do modelu przyjętego w ustawach obowiązujących na terytorium dużej grupy pozostałych Państw UE , opiera się wyłącznie na odpowiedzialności administracyjnej i karnej, nie przewidując sankcji pieniężnych. Oczywiste zmiany w tym zakresie nastąpią począwszy od 25 maja 2018 r., tj. od daty rozpoczęcia stosowania przepisów GDPR.
Karalność w liczbach i praktyce
Aby ocenić skalę naruszeń ustawy o ochronie danych osobowych, oraz realnego dochodzenia odpowiedzialności karnej w takich przypadkach, należy przeanalizować dostępne statystyki dotyczące ilości zgłaszanych organom ścigania przestępstw, wszczętych postępowań, stwierdzonych przestępstw oraz prawomocnych wyroków skazujących.
Ze statystyk, dostępnych na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych (GIODO)[2], wynika, że w ostatnich dwóch latach, liczba skierowanych przez organ zawiadomień o podejrzeniu popełnienia przestępstwa, nieznacznie wzrosła. Jednak wciąż utrzymuje się na niskim poziomie. Zestawienie ogólnej liczby skarg na niewłaściwe przetwarzanie danych osobowych, skierowanych do GIODO w 2016 r. – tj. 2610 wniosków(z 36 przypadkami, w których organ zdecydował się skierować do prokuratury zawiadomienie o podejrzeniu dokonania przestępstwa), najlepiej obrazuje praktykę w tym zakresie. Poniższy wykres ilustruje liczbę zawiadomień kierowanych przez GIODO w latach 2011-2016.
Źródło: Opracowanie własne.
Dotychczasową praktykę, realizacji modelu dochodzenia odpowiedzialności na gruncie prawnokarnym, obrazują statystyki[3] opublikowane na stronie internetowej Policji. Dostępne zestawienia nie są niestety na bieżąco aktualizowane i dotyczą lat 1999-2012. Nie uwzględniają również podziału na poszczególne przestępstwa, opisane w ustawie o ochronie danych. Poniższy wykres obrazuje relacje pomiędzy liczbą wszczętych postępowań, a liczbą podejrzanych w latach 2006 – 2012.
Źródło: Opracowanie własne.
Ze statystyk jasno wynika, że liczba osób, którym stawiane są zarzuty z tytułu przestępstw określonych w UODO, w zestawieniu z masową skalą przetwarzania danych osobowych, jest bardzo mała.
Warto również przeanalizować dostępne dane pod kątem zapadłych wyroków skazujących, wydanych w oparciu o przepisy ww. ustawy[4].
Źródło: Opracowanie własne.
Jak widać, ilość wydawanych wyroków jest niezwykle niska. Jeszcze bardziej zastanawia zestawienie liczby: wszczynanych postępowań, podejrzanych oraz zapadłych wyroków skazujących. Dla przykładu: w 2011 r. organy ścigania wszczęły 317 postępowań na skutek pozyskania informacji o podejrzeniu naruszenia przepisów karnych zamieszczonych w UODO. W 40 przypadkach doszło do przedstawienia podejrzanym zarzutów, zaś prawomocny wyrok skazujący zapadł dziewięciokrotnie. Statystyki zdają się sugerować, że prawnokarna odpowiedzialność była w omawianym roku śladowa.
Ocena praktycznej realizacji odpowiedzialności karnej na gruncie ustawy o ochronie danych osobowych, nie byłaby pełna, bez zestawienia wskazującego na rodzaj zasądzonych kar. Poniższa statystyka uwzględnia ogólną liczbę wyroków skazujących, wraz z podziałem na zasądzone kary pozbawienia wolności (w tym z zawieszeniem wykonania), grzywny oraz kary ograniczenia wolności w latach 2009-2015.
Źródło: Opracowanie własne.
Z powyższego wynika, że od wielu lat, w żadnej sprawie nie zapadł wyrok skazujący na tzw. bezwzględną karę pozbawienia wolności. W zdecydowanej większości, sądy wymierzają karę grzywny, jak wynika ze szczegółowych statystyk publikowanych przez Ministerstwo Sprawiedliwości, często również zawieszając jej wykonanie.
Penalizacja na gruncie GDPR
W literaturze przedmiotu dominują tezy o niewielkiej skuteczności przepisów karnych zawartych w ustawie o ochronie danych osobowych[5]. Powyżej wskazane dane, zdają się uzasadnić pogląd zgodnie, z którym dochodzenie odpowiedzialności karnej z tytułu niewłaściwego przetwarzania danych, jest iluzoryczne. Stale utrzymująca się podobna liczba postępowań, zapadłych wyroków, oraz rodzaju nałożonych kar, świadczy o nikłej praktycznej roli penalizacji w ochronie danych osobowych. Liczne, medialne przykłady przetwarzania danych bez podstawy prawnej, lub ich udostępnienia osobom nieuprawnionym, wskazują, że podmioty przetwarzające dane, nie traktują ewentualnej odpowiedzialności karnej, jako środka odstraszającego. Trudno zatem uznać, aby obecne przepisy zapewniały właściwą ochronę danych osobowych. Warto również zasygnalizować, że przyjęty przez polskiego ustawodawcę, charakter normatywny przestępstw określonych w UODO, powoduje, że dla ustalenia odpowiedzialności sprawcy, niezbędne jest wykazanie naruszenia innych przepisów ustawy lub ustalenie roli tej osoby w związku z przetwarzaniem danych[6]. W razie braku możliwości wykazania takich przesłanek, organy ścigania, zobligowane są do umorzenia postępowania bądź odmowy jego wszczęcia.
Podsumowanie
W kontekście zmian wprowadzanych przez GDPR, zwłaszcza w związku z przyznaniem organom nadzorczym (np. następcy prawnemu GIODO) uprawnienia do nakładania surowych kar finansowych (do 20 000 000 EUR lub 4 % wysokości obrotu podmiotu za miniony rok), oraz zwiększeniem możliwości dochodzenia, przez poszkodowanych, roszczeń na gruncie prawa cywilnego. Zasadnym wydaje się sformułowanie postulatu, zgodnie z którym, nowa polska ustawa, nie powinna zawierać przepisów karnych. Warto odejść od utrzymywania, w dużej mierze fikcyjnego, przeświadczenia o możliwości pociągnięcia do odpowiedzialności na gruncie prawa karnego, skoro analiza statystyk z ubiegłych lat, jednoznacznie wskazuje, na marginalny charakter praktycznego korzystania z tego modelu odpowiedzialności. Funkcję represyjną, oraz prewencyjną, po 25 maja 2018 r. wypełnią kary finansowe nakładane przez organ nadzoru. Kompensacja zaś następować może na gruncie postępowania cywilnego, w rozbudowanej przepisami GDPR, formule.
[1] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wyd. 5, Warszawa 2011 r. s. 689.
[2] http://www.giodo.gov.pl/541/id_art/4583/j/pl/ [dostęp 07.03.2017 r.]
[3] http://statystyka.policja.pl/st/wybrane-statystyki/ochrona-danych-osobowy/63855,Ochrona-danych-osobowych.html [dostęp 07.03.2017 r.]
[4] Źródło: https://isws.ms.gov.pl/pl/baza-statystyczna/opracowania-wieloletnie/ [dostęp 07.03.2017 r.]
[5] Por. P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz. Warszawa 2009, s. 446 i n.
[6] K. Buczkowski, Prawnokarna problematyka ochrony danych osobowych, Warszawa 2015, wersja elektroniczna https://www.iws.org.pl/…/IWS_Buczkowski%20K._Prawnokarna%20problematyka% [dostęp 07.03.2017 r.]
