Ochrona danych osobowych stanowi zainteresowanie nie tylko prawa administracyjnego czy cywilnego, ale także prawa karnego. Ustawodawca polski przewiduje sytuację, w której może dochodzić do nielegalnego przetwarzania danych osobowych, które wymaga także reakcji karnej, a nie tylko administracyjnej czy cywilnej.
Ale to już było…
Przestępstwo bezprawnego (nielegalnego) przetwarzania danych jest obecnie regulowane w art. 107 ustawy o ochronie danych osobowych z 2018 r. Nie jest to oczywiście nowy rodzaj przestępstwa. Podobna regulacja istniała już na gruncie ustawy o ochronie danych osobowych z 1997 r. Obecna jej treść w nieznacznie zmienionym brzmieniu została wprowadzona wraz z wejściem w życie Rozporządzenia 2016/679.
Zgodnie z art. 107 u.o.d.o.:
- Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
- Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
Zakres przedmiotowy i podmiotowy
Przedmiotem ochrony objętym art. 107 u.o.d.o. jest prawo jednostki do ochrony danych osobowych. Jest to jednak pewne uproszczenie, które wprowadzając sankcję za niedopuszczalne przetwarzanie pewnych informacji ma chronić prawa i wolności osób fizycznych związane z takim przetwarzaniem. Prawo to jest wyrazem szerszego prawa do informacyjnego samostanowienia i stanowi element prawa do prywatności. Jest to również realizacja wynikającej z Konstytucji RP ochrony prawnej życia prywatnego.
Podmiotem tego przestępstwa może być każda żyjąca osoba fizyczna (przepisy o ochronie danych nie stosuje się do osób zmarłych). Należy zwrócić uwagę, że nie ma w tym wypadku znaczenia wiek, płeć, status cywilny czy narodowość osoby fizycznej, której dane przetwarzamy. Bez znaczenia jest również ilość danych osobowych, które sprawca przetwarza (liczba rekordów). Należy przyjąć, że zabronione jest przetwarzanie choćby jednej danej osobowej, jeśli takie przetwarzanie jest nielegalne. Zakres czynów, które mogą być objęte tym przepisem jest także bardzo szeroki, co wynika już z definicji przetwarzania w rozumieniu art. 4 pkt 2 RODO, bowiem każda operacja na danych osobowych może zostać zakwalifikowana jako przetwarzanie.
Dwie odmiany przestępstwa
Prawodawca w art. 107 ust. 1 u.o.d.o. wskazuje na dwie odmiany przestępstwa bezprawnego (nielegalnego) przetwarzania danych osobowych. Pierwsza z tych odmian dotyczy sytuacji, kiedy podmiot przetwarza dane, choć przetwarzanie danych nie jest dopuszczalne, druga z nich dotyczy sytuacji, kiedy podmiot nie jest uprawniony do przetwarzania danych. Choć te sytuacje wydają się do siebie podobne, w rzeczywistości odnoszą się do roli jaką dana osoba popełniająca przestępstwo może pełnić w procesie przetwarzania danych osobowych (o czym niżej). W art. 107 ust. 2 u.o.d.o. zawarto typ kwalifikowany tego przestępstwa, który odnosi się do rodzaju przetwarzanych danych, a mianowicie do danych szczególnych kategorii (tzw. danych wrażliwych), których katalog został określony w art. 9 ust. 1 rozporządzenia 2016/679 (RODO).
Podstawy przetwarzania danych osobowych
Przesłanki przetwarzania danych osobowych zgodnie z prawem zostały określone art. 6 ust. 1 RODO. Przepis ten zawiera wyczerpujący katalog warunków (przesłanek), które determinują zgodne prawem (legalne) przetwarzanie danych osobowych. Przepisy rozporządzenia 2016/679 wyróżniają także szczególne kategorie danych osobowych (art. 9 ust. 1 RODO), których – co do zasady – nie wolno przetwarzać, i dane dotyczące karalności i wyroków skazujących (art. 10 RODO). W odniesieniu do tych dwóch kategorii danych osobowych przepisy RODO określają dodatkowe wymogi legalnego (zgodnego z prawem) ich przetwarzania.
Rola w procesie
Każdy podmiot przetwarzając dane osobowe, jeśli takie przetwarzanie podlega regulacji rozporządzenia 2016/679, może zasadniczo występować w jednej z dwóch ról: 1) administratora danych (współadministratora danych) albo 2) podmiotu przetwarzającego (procesora). Podmioty te mogą zaś udzielić osobom fizycznym stosownego upoważnienia (polecenia) do przetwarzania danych. Legalność przetwarzania danych osobowych w rozumieniu art. 6 ust. 1 RODO jest oceniana przez pryzmat występowania w roli administratora danych. Ocena legalności przetwarzania danych osobowych przez pozostałe podmioty (procesora, upoważnioną osobę fizyczną) zależy od decyzji uprawnionego podmiotu i podjęcia w tym zakresie określonych działań, tj. zawarcia przez administratora z procesorem umowy powierzenia przetwarzania danych, o której mowa w art. 28 RODO lub udzielenia osobie fizycznej działającej w imieniu administratora / procesora upoważnienia (polecenia), o którym mowa w art. 32 ust. 4 RODO. Ocena legalności przetwarzania danych osobowych przez każdy z powyżej opisanych podmiotów będzie zależała od roli jaką ten podmiot pełni w ramach danego procesu przetwarzania danych osobowych.
Przenosząc powyższą analizę na grunt art. 107 ust. 1 i 2 u.o.d.o. należy wskazać, że z nielegalnym (bezprawnym) przetwarzaniem danych osobowych będziemy mieć do czynienia w dwóch sytuacjach. Pierwsza z nich będzie zachodziła wtedy, gdy dana osoba fizyczna – działając jako administrator (współadministrator) danych – nie będzie mogła wykazać legalności przetwarzania danych osobowych w rozumieniu art. 6 ust. 1 RODO, jak również nie zostaną spełnione dodatkowe warunki określone w art. 9 ust. 2 RODO (dane szczególnych kategorii, tzw. dane wrażliwe) i art. 10 RODO (dane dotyczące karalności) – w tym wypadku „przetwarzanie będzie niedopuszczalne”.
Dla przykładu:
– przejęcie bez zgody lub umowy od innego administratora danych osobowych jego klientów i wykorzystanie ich do wysyłania do tych osób informacji o własnej ofercie handlowej,
– pobranie od pracowników danych dotyczących karalności w sytuacji, gdy nie ma ku temu podstawy w przepisach prawa.
Z drugą będziemy mieć do czynienia, kiedy dana osoba fizyczna, której nie można przypisać statusu administratora:
- nie zalegalizowała przetwarzania przez siebie danych osobowych umową powierzenia przetwarzania danych,
- nie uzyskała upoważnienia (polecenia) od administratora danych lub procesora,
- przekroczyła przyznane jej upoważnienie od administratora danych lub procesora,
– zachodzi przypadek, gdy osoba „nie jest uprawniona do ich przetwarzania”.
Dla przykładu:
– osoba upoważniona przez administratora przetwarza dane dotyczące stanu zdrowia pracowników przekraczając zakres przyznanego upoważnienia,
– podmiot przetwarzający wbrew poleceniom administratora nie usuwa danych osobowych i w dalszym ciągu przechowuje je u siebie.
Okoliczności od których zależy kwalifikacja czynu jako przestępstwa
Nie każde działanie, które jest niezgodne z przepisami o ochronie danych osobowych będzie stanowiło przestępstwo z art. 107 u.o.d.o. Należy zaznaczyć, że przestępstwo to ma charakter formalny, co oznacza, że nie ma znaczenia stopień ingerencji w prawo do ochrony danych osobowych czy prawo do prywatności. Innymi słowy, nie ma znaczenia czy czyn sprawcy spowoduje jakiś skutek (np. niedogodność) u osoby, której dane osobowe są przetwarzane w sposób bezprawny. Z punktu widzenia tego przepisu istotny jest sam fakt popełnienia tego czynu.
Istotne jest również to, że przestępstwo ma charakter umyślny, a nielegalne przetwarzanie danych możliwe jest zarówno w zamiarze bezpośrednim, jak i ewentualnym. Aby można było mówić o przestępstwie bezprawnego przetwarzania danych osobowych sprawca, podejmując określone czynności, ma pełną świadomość, że jego zachowanie doprowadzi do przestępstwa. Sprawca ma więc świadomość, że jego działania są nielegalne, a więc niezgodne z przepisami i mimo tej świadomości podejmuje te działania.
Obrazując to na przykładzie:
Przestępstwem w rozumieniu art. 107 ust. 1 u.o.d.o. będzie więc przejęcie bez zgody lub umowy od innego administratora dane osobowe jego klientów i wykorzystanie ich do wysyłania do tych osób informacje o własnej ofercie handlowej, jeśli:
– sprawca przejmuje bazę danych zawierającą dane osobowe i działa mając pełną świadomość, że nie został do tego upoważniony oraz
– celowo rozsyła do osób z tej bazy informacje o prowadzonej przez siebie działalności wiedząc, że osoby te nie wyraziły na to zgody, licząc, że dzięki temu będzie w stanie poszerzyć krąg swoich klientów.
W takiej sytuacji sprawca nie będzie w stanie wykazać, że w sposób legalny wszedł w posiadanie takiej bazy, jak również to, że nie może wykazać się zgodą tych osób jako podstawą przetwarzania danych osobowych (zgodnie z art. 6 ust. 1 lit. a RODO).
Powyższe pokazuje jak istotna jest po stronie sprawcy świadomość nielegalnego działania. Przestępstwo zostanie również popełnione gdy sprawca przewiduje, że może popełnić czyn zabroniony i na to się godzi (zamiar ewentualny).
Nie popełni zaś przestępstwa ten, który nie mając zamiaru jego popełnienia, popełnia go jednak na skutek niezachowania ostrożności wymaganej w danych okolicznościach, mimo że możliwość popełnienia tego czynu przewidywał albo mógł przewidzieć (nie jest karalna forma nieumyślna). Nie będzie więc np. karalne zachowanie, gdy pracownik przy okazji przenoszenia akt osobowych z ciekawości przegląda pobieżnie ich zawartość, choć nie został do tego upoważniony do przetwarzania danych osobowych pracowników przez swojego pracodawcę.
Podsumowanie
Nie każde zachowanie, które narusza przepisy o ochronie danych osobowych można zakwalifikować jako przestępstwo nielegalnego przetwarzania danych osobowych. Nie należy jednak z tego wnosić, że wolno dopuszczać się działań niezgodnych z prawem. Prawnokarna ochrona danych osobowych stanowi uzupełnienie regulacji ogólnego rozporządzenia o ochronie danych, które wprowadza ramy ochrony danych osobowych wykorzystując narzędzia prawa administracyjnego i cywilnego. Jest równie ważnym narzędziem do walki organów państwa w celu ochrony podstawowych praw obywateli co kary nakładane przez organy nadzorcze.
Co istotne, przedstawione w artykule „Zbrodnia i kara, czyli prawno-karna ochrona danych osobowych” statystyki pokazują, że to nie tyle zmiana treści przepisów karnych wpłynęła na zwiększenie liczby prowadzonych postępowań dotyczących nielegalnego przetwarzania danych, ale zwiększenie ogólnej świadomości co do konieczności ochrony danych osobowych. To dobry trend – pokazuje, że poważnie podchodzimy jako społeczeństwo do kwestii prywatności i ochrony danych osobowych.