Utrzymanie przepisów karnych w nowej ustawie UODO wydaje się nieuzasadnione, biorąc pod uwagę ich niską skuteczność ze względu na niezwykle małą liczbę wyroków skazujących wydanych  na przestrzeni ostatnich lat. GDPR przewiduje wysokie kary finansowe, które powinny zdecydowanie skuteczniej zmobilizować administratorów danych do zgodnego z prawem przetwarzania danych.

W artykule Za i przeciw utrzymaniu penalizacji w ochronie danych osobowych z 17 marca 2017 r., przeanalizowałem udostępnione na stronach internetowych przez Ministerstwo Sprawiedliwości oraz Generalnego Inspektora Ochrony Danych Osobowych, dane dotyczące ilości spraw związanych z naruszeniem przepisów ustawy o ochronie danych osobowych, których efektem było podjęcie przez policję bądź prokuraturę czynności zmierzających do ustalenia czy doszło w nich do popełnienia przestępstwa.

Jednak pochodzące z powszechnie dostępnych źródeł informacje, co do zasady, nie obejmują danych za 2016 r. (nie wspominając już o pierwszym kwartale 2017 r.) Dlatego też wystąpiłem do Ministerstwa Sprawiedliwości oraz Komendy Głównej Policji o udostępnienie najnowszych statystyk dotyczących szeroko rozumianej penalizacji związanej z przepisami ustawy o ochronie danych osobowych. Poniżej zaprezentowane zestawienia stanowią wynik analizy przekazanych informacji.

reklama

Dane Policji i Ministerstwa sprawiedliwości o skazaniach z tytułu łamania przepisów UODO

Przede wszystkim warto zwrócić uwagę na liczbę prawomocnych skazań osób dorosłych za przestępstwa określone w ustawie o ochronie danych osobowych, z wyszczególnieniem konkretnych przepisów. Niestety Ministerstwo Sprawiedliwości w tym zakresie nie dysponuje jeszcze danymi za 2016 r. W okresie od 1 stycznia 2002 r. do 31 grudnia 2015 r. zapadło 262 wyroków skazujących.  Jak widać, najwięcej (104 przypadki czyli prawie 30% z ogólnej liczby) naruszeń związanych jest z przestępstwem opisanym w art. 51 ust. 1 UODO  (kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega karze ograniczenia wolności albo pozbawienia wolności do lat 2). Bezsprzecznie przestępstwo to, w praktyce, powoduje znaczące naruszenie praw i wolności osób, których dane dotyczą, w szczególności może wywoływać dla niej negatywne skutki np. związane z kradzieżą tożsamości. Dlatego w tym kontekście liczba 104. przestępstw w okresie 14 lat, wydaje się skrajnie niska. Otwartym zatem pozostaje pytanie czy zachowana w tym wypadku zostaje prewencyjna funkcja przepisów karnych.

Drugim pod względem liczby skazań jest przestępstwo określone w art. 52 UODO  (kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku). Jednak i w tym przypadku liczba 66. wyroków jest raczej iluzoryczna.

Jeszcze rzadziej dochodziło do skazania z tytułu popełnienia przestępstwa określonego w art. 49 ust. 1 UODO  (kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo,  do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2). W tym wypadku w okresie 14 lat ukarano 42. sprawców.

reklama

Skazania za przestępstwa z pozostałych wylistowanych  przestępstw zawartych w UODO stanowią niewielką część z ogólnej liczby. Poniżej zbiorcze zestawienie skazań w poszczególnych latach ze wskazaniem poszczególnych typów przestępstw określonych w UODO.

Tab. 1. Prawomocne skazania osób dorosłych na przestępstwa z UODO  z wyszczególnieniem konkretnych przepisów.

Źródło: opracowanie własne.

reklama

Kara bezwzględnego pobawienia wolności za przestępstwa określone w UODO

Należy pamiętać, że powyższe liczby odnoszą się do prawomocnego skazania na wszystkie rodzaje określonych w kodeksie karnym kar. Wydaje się, że niezwykle ciekawym jest udzielenie odpowiedzi na pytanie w ilu przypadkach sądy orzekły karę bezwzględnego pobawienia wolności za przestępstwa określone w UODO. Z przekazanych przez Ministerstwo Spowiedziowości informacji, wynika, że w okresie od 1 stycznia 2000 r. do 31 grudnia 2016 r. nie było ani jednego takiego przypadku.  Ponieważ dane dotyczące prawomocnych wyroków zbierane są w ujęciu rocznym, Ministerstwo nie dysponuje informacjami za I kwartał 2017 r. (dane za rok 2017 będą dostępne dopiero w I kwartale 2018 r.)  Dlatego też nie byłem w stanie zweryfikować prawdziwości pojawiającej się w ostatnim czasie i przekazywanej pocztą pantoflową podczas różnego rodzaju konferencji poświęconych GDPR, informacji o pierwszym takim wyroku, który zapadł na początku 2017 r.

Niezależnie od powyższego warto porównać dane dotyczące liczby postępowań wszczętych oraz przestępstw stwierdzonych w oparciu o UODO. W tym celu warto przeanalizować dane przekazane przez Komendę Główną Policji.

Tab.2. Ustawa z dn. 29 sierpnia 1997 r. o ochronie danych osobowych za lata 2015-2016 wg jednostki rejestrującej.

Źródło: opracowanie własne.

Jako, że dane zawierają również czyny nieletnich, po uzyskaniu przez Policję wiarygodnych informacji o zakończeniu przez Sąd Rodzinny postępowania w sprawach nieletnich, i nie uwzględniają rejestracji z postępowań przygotowawczych prowadzonych przez prokuraturę we własnym zakresie, wartość tych danych ma w mojej ocenie bardziej znaczenie statystyczne, niż analityczne. Trudno na tej podstawie wyciągać wnioski (interesujące admiratorów danych) co do skali ryzyka związanego z niewłaściwym przetwarzaniem danych osobowych.

Podsumowanie

Z powyższych oraz zawartych w pierwszej części artykułu statystyk wynika, że skrajnie rzadko dochodzi  do wymierzenia kary  z tytułu naruszenia przepisów UODO . 262 skazania na przestrzeni 14 lat, oraz ani jednego wyroku skazującego na karę bezwzględnego pozbawienia wolności, pozwalają wątpić w rolę i skuteczność przepisów karnych w UODO. Wielu praktyków spotkało się zapewne w swojej karierze zawodowej z pytaniem: „ile osób skończyło w więzieniu z tytułu niewłaściwego przetwarzania danych?”, lub „ile stwierdzono przestępstw związanych z naruszeniem UODO , skoro ciągle ktoś wysyła niechciany marketing?”. Przywołane statystyki nie ułatwiają budowania argumentacji mającej przekonywać, że odpowiedzialność karna określona w UODO nie jest wyłącznie teoretyczna. Moim zdaniem nie ma sensu utrzymywać w przepisach takiego stanu, zwłaszcza że GDPR przewiduje wysokie kary finansowe, które, jak się wydaje, zdecydowanie skuteczniej zmobilizują administratorów danych do zgodnego z prawem przetwarzania danych. Jeśli jednak Ustawodawca zdecyduje się na pozostawienie przepisów karnych w nowej UODO, dobrze byłoby, aby nowe przepisy były zdecydowanie bardziej konkretne, tak aby organy prowadzące postępowania karne chętniej korzystały z instytucji jaką jest penalizacja czynów związanych z niezgodnym z prawem przetwarzaniem danych osobowych.

Przeczytaj również:

UDOSTĘPNIJ
Poprzedni artykułWannaCry – najbardziej spektakularny atak w historii
Następny artykułPRAKTYKI dla studentów prawa: Zdobywaj doświadczenie zawodowe z zespołem Omni Modo
Prawnik, absolwent Wydziału Prawa i Administracji Uniwersytetu Szczecińskiego oraz studiów podyplomowych na kierunku „Zarządzanie Bezpieczeństwem Informacji” w Szkole Głównej Handlowej w Warszawie. W latach 2012-2013 pracownik Departamentu Orzecznictwa, Legislacji i Skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych, gdzie zajmował się prowadzeniem postępowań administracyjnych w zakresie skarg na nieprawidłowości w procesie przetwarzania danych osobowych. Jako współpracownik portalu www.e-ochronadanych.pl jest autorem artykułów z zakresu ochrony danych osobowych. Do jego szczególnych zainteresowań należy kwestia powiązań ustawy o ochronie danych osobowych z prawem bankowym oraz kanonicznym. Jego prywatną pasją jest prawo karne oraz rodzinne.