LexDigital

3 lata więzienia za niewłaściwe przetwarzanie danych osobowych. Nowy projekt ustawy.

Nowy projekt ustawy o ochronie danych osobowych, wprowadza karę w wysokości nawet do 3 lat więzienia, za przetwarzanie danych wbrew prawu. Przestępstwo może popełnić każdy, kto w firmie przetwarza dane - członek zarządu spółki, czy szeregowy pracownik. Każdy, kto dopuścił się naruszenia przepisów ustawy.

3 lata więzienia za niewłaściwe przetwarzanie danych osobowych. Nowy projekt ustawy.

Martwe przepisy ustawy o ochronie danych osobowych

Przez ponad 20 lat obowiązywania ustawy o ochronie danych osobowych, akt ten zawierał aż dziewięć przepisów, których naruszenie stanowiło przestępstwo. Przestępstwem jest nadal (do 25 maja 2018 roku) niedopuszczalne przetwarzanie danych osobowych i danych wrażliwych, udostępnianie danych osobowych osobom nieupoważnionym, naruszenie obowiązku zabezpieczenia danych osobowych, niezgłoszenie zbioru danych do rejestracji, niepoinformowanie o prawach osoby, której dane są przetwarzane oraz utrudnianie wykonywania czynności kontrolnych.

Tak surowe przepisy okazały się jednak całkowicie nieskuteczne. W ciągu 20 lat organy ścigania wszczynały około 300 spraw rocznie, z których zdecydowaną większość umarzano. Przez ten czas skazano niespełna 300 osób. Większość z nich ukarano niewielką grzywną (do 3000 zł. lub niższą). Nikt nigdy nie został skazany na karę więzienia, mimo, że najsurowsze zagrożenie to aż trzy lata. Karane były głównie działania niefrasobliwe, takie jak wyrzucenie dokumentacji osobowej na śmietnik, porzucenie przesyłek pocztowych przez listonoszy, czy udostępnienie systemu informatycznego osobie nieuprawnionej. 

To głównie z powodu takiej asymetrii – z jednej strony wielu przepisów, teoretycznie surowych, a z drugiej strony niemal całkowitego braku ich skuteczności - ustawa z 1997 roku była krytykowana. Większość przedsiębiorców działała i działa nadal bez jakiejkolwiek świadomości, że każdego dnia narażają się na zarzuty i oskarżenie.

RODO a krajowa ustawa o ochronie danych osobowych

RODO nie zawiera przepisów karnych. W art. 84 oraz w motywie 149 Preambuły zezwala jednak na to, aby państwa rozważyły, czy w przepisach krajowych wprowadzić sankcje karne za naruszenie jego przepisów. Wychodząc naprzeciw krytyce starej ustawy, autorzy nowej polskiej regulacji wprowadzającej RODO w życie, początkowo postanowili w ogóle ich nie wprowadzać. Pierwotny projekt z marca 2017 roku nie przewidywał, by naruszenie rozporządzenia było przestępstwem. 

Pod wpływem konsultacji, w kolejnym projekcie z września 2017 roku, zawarto dwa typy przestępstw. Za czyn zabroniony uznawano wyłącznie przetwarzanie danych szczególnie wrażliwych (ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, genetyczne, biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dotyczące zdrowia, seksualności lub orientacji seksualnej) z naruszeniem art. 9 RODO, a zatem bez podstawy prawnej. Naruszenie przepisów odnoszące się do innych kategorii danych nie miało być przestępstwem i miało być karane wyłącznie administracyjnie. Tylko wykroczeniem miało być natomiast utrudnianie kontroli nowego urzędu chroniącego dane osobowe.

Nowa ustawa o ochronie danych osobowych

W dniu 8 lutego 2018 roku ukazał się kolejny już projekt nowej ustawy o ochronie danych osobowych, wieńczący długie konsultacje społeczne. Dokument ten odwraca sytuację i stanowi powrót do rozwiązań polskich z czasów przed RODO, w zakresie regulacji karnych. Zawiera bowiem trzy nowe przestępstwa odnoszące się do danych osobowych. 

Zgodnie z art. 101 projektu ustawy dwa lata więzienia, ograniczenie wolności albo grzywna aż do miliona złotych, grożą osobie, która przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne, albo do których nie jest uprawniona. Ustęp drugi tego przepisu zaostrza kary wobec czynów ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, biometrycznych, o stanie zdrowia, seksualności lub orientacji seksualnej. Sprawca takiego czynu może zostać skazany aż na trzy lata więzienia. 

Warto zwrócić uwagę, że przestępstwo to popełnia nie tylko ten, kto nie miał prawa przetwarzania danych (bo np. nie uzyskał wymaganej prawem zgody albo nie zachodzi inna podstawa prawna przetwarzania zawarta w art. 6 lub 9 RODO). Sprawcą może być również osoba, która ma podstawę prawną do przetwarzania danych, ale czyni to, gdy przetwarzanie nie jest dopuszczalne, bo narusza inne zasady przetwarzania danych (zasadę rzetelności i przejrzystości przetwarzania, zasadę ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, czy integralności i poufności). 

Kto może być sprawcą takiego przestępstwa? Każda osoba, która w firmie odpowiada za przetwarzanie danych, a więc członek zarządu spółki, prokurent pełniący funkcje zarządcze, dyrektor działu odpowiedzialnego za przetwarzanie danych a nawet pracownik, który dopuścił się naruszenia przepisów ustawy. Dość abstrakcyjne brzmienie tego przepisu pozwala przyjąć, że przestępstwo to może być popełnione zarówno w zamiarze bezpośrednim (sprawca jest świadom, że podejmowane przez niego czynności są niedopuszczalnym przetwarzaniem danych lub że jest on osobą nieuprawnioną do przetwarzania danych) jak i w zamiarze ewentualnym (sprawca przewiduje możliwość, że jego działanie może być niedopuszczalnym przetwarzaniem danych lub że mogą mu nie przysługiwać określone uprawnienia do ich przetwarzania, ale się na to godzi). 

Trzecim przestępstwem zagrożonym do 2 lat więzienia będzie, zgodnie z art. 102 projektu, udaremnienie lub utrudnienie kontroli przestrzegania nowych przepisów. To również wyjście naprzeciw wcześniejszym zastrzeżeniom, że w sytuacji, gdy jest to wykroczenie, dużo bardziej opłacalnym będzie narażeniem się na 5000 złotych grzywny, niż narażenie spółki na wielomilionową karę. Po tej zmianie osoba utrudniająca kontrolę ryzykuje znacznie więcej. 

Ryzyko nieprzestrzegania nowej ustawy o ochronie danych osobowych

Przy tak skomplikowanym akcie prawnym jakim jest RODO, zawierającym szereg nowych rozwiązań, tak niedookreślone sformułowania powodują, że ryzyko ukarania jest kolejnym, które należy mieć na uwadze budując system ochrony danych osobowych. Jeśli ustawa w tym brzmieniu wejdzie w życie, to nie tylko spółka, która narusza RODO ryzykuje wysoką karą administracyjną (zgodnie z art. 83 do 20 milionów EURO lub 4% całkowitego rocznego światowego obrotu). Także osoby odpowiedzialne za wdrożenie systemu ochrony danych mogą zostać pociągnięte do osobistej odpowiedzialności. 

Warto zwrócić uwagę, iż przestępstwa z art. 101 i art. 102 nowego projektu nie można popełnić nieumyślnie. Nie popełnia więc przestępstwa osoba, która odpowiada w organizacji za ochronę danych osobowych, a która naruszyła obiektywnie przepisy RODO, ale działając w zaufaniu do zatwierdzonych kodeksów postępowania, rekomendacji Prezesa Urzędu Ochrony Danych Osobowych, czy wytycznych inspektora ochrony danych zatrudnionego w firmie. Z tego powodu nawet gdy przepisy prawa nie wymagają, by w organizacji powołany został inspektor, gdy przetwarzamy dane a nie jesteśmy pewni, czy naruszamy przepisy, skorzystać z oferty zatrudnienia w niej IOD. Także pomoc inspektora w trakcie kontroli pozwoli na jej przeprowadzenie bez narażenia się na zarzuty.


Sprawdź również:


Polecane

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Popularne

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD szymon.matylla@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Szymona Matylli na adres szymon.matylla@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineJULAFibar GroupPixersWykop.plGPD AgencyNetguruTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.