LexDigital

Odpowiedzialność karna za nielegalne przetwarzanie danych osobowych – art 107 ustawy o ochronie danych osobowych

Oprócz administracyjnych kar pieniężnych, które mogą być skutkiem naruszenia RODO przez administratora lub podmiot przetwarzający i są nakładane na podstawie przepisów prawa administracyjnego, istnieje również inna ścieżka karania za naruszenia przepisów RODO. Można to robić na drodze cywilnoprawnej, co oznacza, że osoby, których prawa i wolności zostały naruszone przez niewłaściwe przetwarzanie ich danych osobowych, mogą dochodzić roszczeń na drodze sądowej.

Odpowiedzialność karna za nielegalne przetwarzanie danych osobowych – art 107 ustawy o ochronie danych osobowych

RODO, zgodnie z art. 84, umożliwia poszczególnym państwom członkowskim wprowadzenie przepisów określających inne sankcje za naruszenie prawa do prywatności. Te sankcje mogą nawet przyjąć formę rygorów karnych.

Do dnia 25 maja 2018 r. każde państwo członkowskie miało czas na zawiadomienie Komisji Europejskiej o przepisach w tym zakresie. Polska skorzystała z tej okazji i na mocy Ustawy z dnia 10.05.2018 r. o ochronie danych osobowych wprowadziła do krajowego porządku prawnego dwa przepisy karne, zmaterializowane w art. 107 i 108 w/wym. ustawy, czym wyparła wcześniejsze siedem przepisów karnych zawartych w "starej" ustawie o ochronie danych osobowych.

odpowiedzialność karna


Przepisy karne w ustawie o ochronie danych osobowych

Dwa przepisy karne dotyczące ochrony danych osobowych wskazane w art. 107 i art. 108 ustawy o ochronie danych osobowych odnoszą się do naruszenia postanowień RODO i dotyczą odpowiednio kwestii:

  • przetwarzania danych osobowych, pomimo że ich przetwarzanie nie jest dopuszczalne,
  • przetwarzania danych osobowych (w tym szczególnej kategorii) przez osoby nieuprawnione,
  • udaremniania lub utrudniania prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych,
  • niedostarczania danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej,
  • dostarczenie danych, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.

Bezprawne przetwarzanie danych osobowych

przetwarzanie danych osobowych

W świetle art. 107 ustawy o ochronie danych osobowych, za czyn określony jako bezprawne przetwarzanie danych osobowych ustawa uznaje dwa przypadki:

  1. Przetwarzanie danych osobowych, mimo że ich przetwarzanie jest niedopuszczalne,
  2. Przetwarzanie danych osobowych bez odpowiedniego uprawnienia.

Czynnością, która decyduje o sprawstwie w tym przypadku, będzie więc samo przetwarzanie danych osobowych. Czyli w myśl definicji wskazanej w art. 4 pkt 2 RODO wykonywanie operacji lub zestawów operacji na danych osobowych, lub zestawach danych osobowych w sposób zautomatyzowany, lub niezautomatyzowany, bez odpowiedniej podstawy prawnej lub bez właściwego upoważnienia do ich przetwarzania. Ustawa nie wskazuje przy tym, że takie przetwarzanie musi się wiązać z negatywnymi skutkami dla osoby, której dane dotyczą.

Przesłanki legalnego przetwarzania danych osobowych

legalność, okulary, książka

Przesłanki, na podstawie których administrator może legalnie przetwarzać dane osobowe, zostały wskazane odpowiednio w art. 6 RODO w odniesieniu do danych osobowych tzw. zwykłych oraz w art. 9 RODO w odniesieniu do danych szczególnych kategorii.

Dane osobowe zwykłe

Do przesłanek zgodności przetwarzania danych osobowych zwykłych należy:

- zgoda osoby, której dane dotyczą na przetwarzanie danych osobowych w jednym lub większej liczbie celów;

- niezbędność przetwarzania danych osobowych do wykonania umowy, której stroną jest osoba, której dane dotyczą lub podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

- niezbędność wypełnienia obowiązku prawnego ciążącego na administratorze;

- niezbędność ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;

- niezbędność wykonania zadania realizowanego w interesie publicznym lub sprawowania władzy publicznej powierzonej administratorowi;

- niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią poza wskazanymi w przepisie sytuacjami.

biometryczne dane

Dane szczególnych kategorii

W zakresie danych szczególnych kategorii, których przetwarzanie jest co do zasady zabronione, RODO wskazuje na następujące warunki ich legalnego przetwarzania:

  1. wyraźna zgoda osoby, której dane dotyczą na przetwarzanie jej danych osobowych w jednym lub kilku konkretnych celach;
  2. niezbędność przetwarzania, wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej;
  3. niezbędność ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej w sytuacji, gdy osoba jest fizycznie lub prawnie niezdolna do wyrażenia takiej zgody;
  4. przetwarzanie danych osobowych dotyczących członków, byłych członków, osób utrzymujących stałe kontakty ze wskazanymi w przepisie podmiotami i przez te podmioty we wskazanych celach w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń;
  5. upublicznienie w sposób oczywisty danych osobowych przez osobę, której dane dotyczą;
  6. niezbędność przetwarzania do ustalenia, dochodzenia lub obrony roszczeń, lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  7. niezbędność przetwarzania w związku z ważnym interesem publicznym przy spełnieniu opisanych w przepisie warunków;
  8. niezbędność przetwarzania do celów profilaktyki zdrowotnej lub medycyny pracy i do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej, lub zabezpieczenia społecznego przy spełnieniu warunków wskazanych w przepisie;
  9. niezbędność przetwarzania ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego przy spełnieniu wskazanych warunków;
  10. niezbędność przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych przy spełnieniu wskazanych warunków.
zgodność z prawem


Uprawnienie do przetwarzania danych osobowych

Zgodnie z przepisem wskazanym w ustawie, mimo iż administrator przetwarza dane osobowe na mocy co najmniej jednej z przesłanek legalizujących, operacje przetwarzania mogą być realizowane bezprawnie. Może się to odbywać ze względu na fakt, iż takie przetwarzanie realizuje osoba nieupoważniona, czyli osoba, która nie została w żaden sposób umocowana do przetwarzania danych osobowych, co stanowi naruszenie przepisów prawa.

Umocowanie takie może być realizowane w różnej postaci, np. poprzez czynność wewnętrzną administratora w postaci nadanego upoważnienia do przetwarzania danych osobowych. Przy czym obowiązek nadania takiego upoważnienia może wynikać wprost z przepisu prawa, np. art. 22(1b) Kodeksu pracy w kontekście przetwarzania danych osobowych osób ubiegających się o zatrudnienie. Inne źródła uprawnienia do przetwarzania danych osobowych mogą wynikać z przepisów powszechnie obowiązującego prawa lub stosownych zapisów umowy.

Przestępstwo można stwierdzić m.in. wtedy, kiedy przetwarzanie danych osobowych odbywa się pomimo tego, że jest niedopuszczalne.

sąd, odpowiedzialność karna, wyrok

Odpowiedzialność karna

Art. 107 ustawy o ochronie danych osobowych wskazuje odpowiedzialność karną za bezprawne przetwarzanie danych osobowych. W ust. 1 wskazano odpowiedzialność za nielegalne przetwarzania danych osobowych tzw. zwykłych. Przepis mówi o grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Ust. 2 dotyczy odpowiedzialności karnej związanej z bezprawnym przetwarzaniem danych osobowych szczególnych kategorii. Czyli danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Za nielegalne przeważanie danych osobowych szczególnych kategorii ustawodawca przewidział wyższy górny wymiar kary. Złamanie tego przepisu podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Sankcje karne w praktyce

Obserwując praktykę sądów, wskazać należy, iż odpowiedzialność karna na gruncie art. 107 ustawy o ochronie danych osobowych stanowi raczej uzupełnienie dla odpowiedzialności administracyjnej i cywilnej z tytułu niestosowania RODO. Jak można zaobserwować, podstawowymi sankcjami za naruszenie przepisów o ochronie danych osobowych są nakładane na administratora lub podmiot przetwarzający obowiązki wynikające z prawa administracyjnego w tym w postaci administracyjnych kar pieniężnych, będące wyrazem szeroko uregulowanej odpowiedzialności administracyjnej.

Podsumowanie

Należy pamiętać o tym, że nie każde zachowanie powodujące naruszenie ochrony danych osobowych stanowi przestępstwo nielegalnego przetwarzania danych. Jednocześnie warto wiedzieć, że nie wolno godzić się na łamanie przepisów prawa w tym zakresie. Ustawa o ochronie danych osobowych jest cennym narzędziem, które jest uzupełnieniem obowiązującego rozporządzenia o ochronie danych osobowych (RODO).

Chcesz przetwarzać dane zgodnie z prawem, aby uniknąć kar? Nasi eksperci służą pomocą. Napisz do nas maila: biuro@lexdigital.pl lub zadzwoń: +48 500 214 942.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk