GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Zbrodnia i kara, czyli prawno-karna ochrona danych osobowych

Zbrodnia i kara, czyli prawno-karna ochrona danych osobowych

Przepisy karne chroniące informacje (rozdział XXXIII kodeksu karnego, dalej k.k.), penalizujące zachowania przeciwko wolności, w tym kradzież tożsamości (rozdział XXIII kodeksu karnego) jak i znajdujące się w samej ustawie o ochronie danych osobowych (art. 107 oraz 108) są najrzadziej omawianymi przez specjalistów od RODO zagadnieniami związanymi z ochroną danych osobowych.

Inna perspektywa i inna terminologia

Aby to zmienić, warto je omówić, tym bardziej że mamy okazję uzupełnić je bardzo ciekawymi statystykami, które otrzymaliśmy od Komendy Głównej Policji. Założeniem jest nie tylko wskazanie jak obecnie się kształtuje odpowiedzialność karna, ale także pokazanie jak przepisy ewoluowały, jak zmieniały się statystyki i wskazanie jak może wyglądać prawno-karna ochrona danych w przyszłości.

Artykułem tym otwieramy cykl, w którym omówione zostaną wybrane, najczęściej stosowane w praktyce przepisy i przybliżone prawno-karne spojrzenie na ochronę danych, które jest zdecydowanie inne niż perspektywa cywilistyczna.

Przepisy karne są (powinny być) jasne i klarowne, a przede wszystkim precyzyjne, są bowiem tą częścią systemu prawnego, który przewiduje największą dolegliwość dla osoby naruszającej (sprawcy), czyli pozbawienie wolności. Aby zrozumieć specyfikę prawa karnego musimy nauczyć się stosować pojęcia właściwe dla tej gałęzi prawa, czyli pokrzywdzony a nie poszkodowany, naruszyciel, podejrzany czy oskarżony, a nie pozwany. Postępowania dzielą się na fazę in rem (w sprawie), czyli do momentu gdzie nie postawiono nikomu zarzutów oraz in personam (przeciwko konkretnej osobie), gdzie zarzut karny skierowano wobec konkretnej osoby. Prawo karne posługuje się pojęciem umyślności i nieumyślności, czyli zwraca uwagę na stronę podmiotową czynu (art. 9 k.k.).

Art.  9.  [Strona podmiotowa czynu. Umyślność i nieumyślność]

§  1.  Czyn zabroniony popełniony jest umyślnie, jeżeli sprawca ma zamiar jego popełnienia, to jest chce go popełnić albo przewidując możliwość jego popełnienia, na to się godzi.

§  2.  Czyn zabroniony popełniony jest nieumyślnie, jeżeli sprawca nie mając zamiaru jego popełnienia, popełnia go jednak na skutek niezachowania ostrożności wymaganej w danych okolicznościach, mimo że możliwość popełnienia tego czynu przewidywał albo mógł przewidzieć.

§  3.  Sprawca ponosi surowszą odpowiedzialność, którą ustawa uzależnia od określonego następstwa czynu zabronionego, jeżeli następstwo to przewidywał albo mógł przewidzieć.

Uwaga!

Zbrodnię można popełnić tylko umyślnie (art. 8 k.k.)

Zbrodnią jest czyn zabroniony zagrożony karą pozbawienia wolności na czas nie krótszy od lat 3 albo karą surowszą. (art. 7 § 2 k.k.). Wszystkie omawiane w artykule przepisy nie są zbrodniami.

Rozróżnia formy popełnienia przestępstwa (rozdział II k.k.), zjawiskowe (art. 18 k.k. – sprawstwo indywidualne, współsprawstwo, sprawstwo kierownicze, sprawstwo poleceniowe, podżeganie i pomocnictwo) oraz stadialne (przygotowanie, usiłowanie, dokonanie). Indywidualizuje odpowiedzialność karną (art. 21 k.k.). Kodeks karny zawiera pojęcia kontratypów (rozdział III k.k.), czyli okoliczności wyłączających karną bezprawność czynu. Innymi słowy mamy do czynienia z sytuacją, gdzie zachowanie wypełniające znamiona czynu zabronionego nie jest przestępstwem, choć pozostaje wciąż czynem zabronionym (np. obrona konieczna, czy stan wyższej konieczności). Te i inne pojęcia oraz instytucje prawa karnego są obce większości osób zajmujących się ochroną danych osobowych, ale by dobrze zrozumieć ducha prawa karnego i wiedzieć jakie konsekwencje może pociągnąć za sobą konkretny czyn, trzeba się z nimi zaznajomić. Tym bardziej, że ochroną danych co do zasady najczęściej zajmują się cywiliści lub specjaliści od prawa administracyjnego, prawa pracy czy bezpieczeństwa, choć często w ogóle nie są to prawnicy. Nie należy tego traktować jako zarzutu, ale bardziej jako stwierdzenie faktu.

Utrudnianie lub udaremnianie kontroli   

Do rozpoczęcia tego cyklu przyczyniły się także dwa ostatnie rozstrzygnięcia Urzędu, w których Prezes Urzędu Ochrony Danych Osobowych stwierdził, że doszło do naruszenia art. 108 ust. 1 ustawy, czyli udaremniano lub utrudniano kontrolującemu uprawnionemu przez Prezesa UODO przeprowadzenie kontroli przestrzegania przepisów o ochronie danych  osobowych

[https://uodo.gov.pl/decyzje/ZSPR.421.19.2019, https://uodo.gov.pl/pl/138/1483].

Więcej o tym: https://gdpr.pl/aktualnosci/20-000-zl-kary-dla-firmy-telemarketingowej-za-uniemozliwienie-przeprowadzenia-kontroli oraz  https://gdpr.pl/aktualnosci/zakaz-publikacji-numeru-ksiag-wieczystych-na-portalu-internetowym-geoportal2

Jest to o tyle zaskakujące, że biorąc pod uwagę wachlarz sankcji jakie ma do dyspozycji Prezes UODO oraz ich wagę, nie przypuszczaliśmy, że takie naruszenia nastąpią. Dowodem na to jest fakt, że występując do Komendy Głównej o statystyki dotyczące popełnienia przestępstw związanych z ochroną danych pominęliśmy art. 108 ustawy. Jak widać nie powinniśmy.

Przechodząc do szczegółów, należy zacząć od wskazania które z przepisów uwzględniono w opracowaniu. W pierwszej kolejności omówione zostaną dwa przepisy ustawy o ochronie danych osobowych (uodo) z uwzględnieniem ich brzmienia w uchylonej ustawie o ochronie danych osobowych. W obecnej uodo mamy spenalizowane dwa zachowania, czyli nielegalne  przetwarzanie danych (art. 107) oraz udaremnienie lub utrudnienie przeprowadzenia kontroli przez organ nadzoru (art. 108).

Z przestępstw wskazanych w kodeksie karnym, omówione zostaną te opisane w art. 190 a § 2 (kradzież tożsamości), art. 191 § 1 (zmuszanie do  określonego zachowania się), art. 266 § 1 (ujawnienie informacji) oraz art. 267 (bezprawne uzyskanie informacji).

Ustawa o ochronie danych osobowych

Art. 107 [Odpowiedzialność za bezprawne przetwarzanie danych osobowych]

1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej,podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

W uchylonej ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych odpowiadające im przepisy znajdowały się w rozdziale 8 i miały następującą treść.

Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Poprzednia ustawa zawierała także inne przepisy karne mówiące o odpowiedzialności karnej m.in. w przypadku naruszenia obowiązku zabezpieczenia danych, czy kuriozalny przepis penalizujący niezgłoszenie do rejestracji zbiorów danych.

Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Na szczęście przepisy te nie zostały przeniesione do nowej ustawy, skutkowałoby to jedynie dalszym psuciem prawa. Postrzegane one były (szczególnie art. 53) jako całkowicie zbędny i oderwany od rzeczywistości. Rozporządzenie ogólne nie koncentruje się na odpowiedzialności karnej, daje inne instrumenty nacisku na administratorów, dzięki czemu podjęta została rozsądna decyzja o nie przenoszeniu tych regulacji do krajowego porządku prawnego.

Znowelizowana ustawa o ochronie danych osobowych podtrzymała sankcję karną za nielegalne przetwarzanie danych wprowadzoną już w 1997 r. Zgodnie z art. 107 przestępstwem jest nielegalne lub nieuprawnione przetwarzanie danych, za które grozi kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat dwóch. Wyższe zagrożenie karne (do trzech lat pozbawienia wolności) zostało przewidziane, jeżeli przetwarzanie dotyczy danych szczególnych kategorii.

Aby przetwarzanie było legalne, musi odbywać się przede wszystkim zgodnie z zasadami wyrażonymi w art. 5 RODO i na podstawach norm wskazanych w art. 6 lub 9 rozporządzenia ogólnego. Znajduje to zastosowanie np. w nagłośnionej ostatnio sprawie nielegalnego oferowania bazy danych klientów pewnego banku przez jej byłego pracownika.

Przestępstwa stwierdzone, wykryte oraz podejrzani
Ustawa Akt prawny Rok Przestępstwa stwierdzone Przestępstwa wykryte Podejrzani ogółem
Ustawa z dn. 10.05.2018 r. o ochronie danych osobowych Art. 107 ust. 1 2018 31 15 11
2019 499 462 38
Art. 107 ust. 2 2018 2 1 1
2019 7 3 1
Ustawa z dn. 29.08.1997 r. (uchylona z dn. 25.05.2018r. ) o ochronie danych osobowych Art. 49 ust. 1 (uchylony) 2017 31 12 8
2018 175 164 6
2019 3 1 1
Art. 49 ust. 2 (uchylony) 2017 2 2 2
2018 2 2 1

 

postępowania wszczęte
Ustawa Artykuł 2017 2018 2019
Ustawa z dn. 10.05.2018 r. o ochronie danych osobowych Art. 107 ust. 1 136 309
Art. 107 ust. 2 9 19
Podsumowanie: Ustawa z dn. 10.05.2018 r. o ochronie danych osobowych 145 328
Ustawa z dn. 29.08.1997 r. (uchylona z dn. 25.05.2018r. ) o ochronie danych osobowych Art. 49 ust. 1 (uchylony) 87 43
Art. 49 ust. 2 (uchylony) 7 2
Podsumowanie: Ustawa z dn. 29.08.1997 r. (uchylona z dn. 25.05.2018r. ) o ochronie danych osobowych 94 45

Statystyki udostępnione przez Komendę Główną Policji

Art. 108 [Odpowiedzialność za utrudnianie prowadzenia kontroli]

1. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

2. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.

 

Brzmienie przepisu w uchylonej ustawie o ochronie danych osobowych:

Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Ratio legis wprowadzenie tych regulacji był fakt, iż część podmiotów wyraźnie nie była zainteresowana współpracą z Urzędem podczas czynności kontrolnych i ów brak zainteresowania przejawiał się m.in. poprzez uniemożliwienie kontrolującym wejścia do siedziby, odmowę udostępnienia zasobów (dokumentacji, systemów informatycznych) lub kontaktu z zaangażowanym w przetwarzanie personelem. Praktyka ostatnich tygodni pokazała, że przepis ma rację bytu.

Wskazane statystyki pokazują gwałtowny wzrost liczby zarówno przestępstw jak i wszczętych postępowań, a wysokość sankcji sprawia, że sama kontrola (a właściwie jej konsekwencje) jawi się jako potencjalne zagrożenia dla funkcjonowania tych podmiotów, które nie zapewniają zgodności swoich działań z RODO.  Stąd coraz częstsze przypadki udaremniania lub utrudniania czynności urzędników, jako  przysłowiowa brzytwa, której chwytają się Ci, którzy na laurkę w protokole pokontrolnym liczyć raczej nie mogą. 

Naszym zdaniem istotnie zwiększająca się liczba wszczętych postępowań, potwierdza zasadność postulatów, które organ ochrony danych osobowych zgłaszał w trakcie prac nad nową ustawą o ochronie danych osobowych. Przypominamy, że proponowaliśmy wówczas, aby zachować przepisy karne w ustawie o ochronie danych osobowych, gdyż cały czas będą obszary, w których jedynie sankcje karne będą skuteczne. Można jedynie żałować, że ustawodawca utrzymał tylko w ograniczonym zakresie przepisy karne w ustawie o ochronie danych osobowych, która obowiązuje od 25 maja 2018 r.

Natomiast zwiększająca się liczba spraw oraz ich waga obrazują rosnącą liczbę przestępstw w tym obszarze, szczególnie w cyberprzestrzeni, a zarazem rośnie świadomość organów ścigania oraz jednostek prokuratury w tym zakresie.

Departament Komunikacji Społecznej
Urzędu Ochrony Danych Osobowych

Trudno zgodzić się ze stanowiskiem Urzędu, iż „można jedynie żałować, że ustawodawca utrzymał tylko w ograniczonym zakresie przepisy karne w ustawie o ochronie danych osobowych, która obowiązuje od 25 maja 2018 r.”, bowiem skuteczność przepisów karnych przejawiać się powinna w ich skuteczności i nieuchronności w stosowaniu, a nie liczbie.

Podsumowując, transpozycja tylko tych dwóch przepisów w połączeniu z innymi narzędziami jakimi dysponuje Prezes UODO jest wystarczająca. Stąd pozytywnie ocenić trzeba wzrost świadomości w zakresie przestępstw związanych z danymi osobowymi zarówno po stronie organów ścigania jak i samych pokrzywdzonych, przejawiającej się w rosnącej liczbie postępowań, a także aktywności samego Urzędu, który nie waha się z ww. przepisów korzystać, a okoliczności spraw odpowiednio nagłaśniać, co spełnia nie tylko funkcję edukacyjną, ale też prewencyjną w odniesieniu do wszystkich tych, którzy przepisów nie znają albo znać nie chcą.