Przetwarzasz dane osobowe, a nie masz do tego uprawnień? Grożą Ci 2 lata więzienia. Ujawniasz dane dotyczące poglądów politycznych lub przekonań religijnych? Dodaj do tego rok – możesz zostać skazany na 3 lata więzienia. Bez względu na to, czy jesteś członkiem zarządu spółki, czy szeregowym pracownikiem.
Autorzy projektu wprowadzenia RODO w Polsce, zgodnie z zapisami unijnego rozporządzenia, nie chcieli wprowadzać przepisów karnych za naruszenia. Jednak w wyniku konsultacji, w projekcie z września 2017, umieścili dwa rodzaje przestępstw. Na początku lutego bieżącego roku, w projekcie nowej ustawy o ochronie danych osobowych, pojawił się kolejny przepis zaostrzający rozporządzenie.
Skąd pomysł na odpowiedzialność karną?
Dotychczas obowiązująca ustawa o ochronie danych osobowych definiowała 9 przepisów, za których naruszenie można było spodziewać się pociągnięcia do odpowiedzialności karnej. Wśród obowiązujących do dzisiaj znaleźć można:
- bezprawne przetwarzanie danych osobowych,
- umożliwienie dostępu do danych osobom nieupoważnionym
- niezabezpieczenie danych osobowych,
- niezarejestrowanie zbiorów danych osobowych,
- niespełnienie obowiązku informacyjnego
- utrudnienie kontroli inspektora GIODO.
Przez 20 lat obowiązywania przepisów, skazano niespełna 300 osób za wykroczenia związane z naruszeniem ochrony danych osobowych. Wśród najpopularniejszych działań, które zakończyły się karą, znalazły się m.in. udostępnienie systemu IT osobie nieuprawnionej czy porzucenie przesyłek przez listonoszy. W większości przypadków, naruszenia karane były grzywną wynoszącą maksymalnie 3000 zł. Nigdy nie skazano nikogo na karę więzienia, która mogła wynieść do 3 lat. Jak widać, mimo ogromu surowych przepisów, były one nieskuteczne, co spotykało się z notoryczną krytyką ustawy.
Krajowa ustawa o ochronie danych osobowych kontra RODO
Mimo, że RODO nie zawiera przepisów karnych, autorzy nowej polskiej regulacji wprowadzającej rozporządzenie w życie, we wrześniu 2017 r., zdefiniowali dwa typy przestępstw, za które może grozić odpowiedzialność karna. Były to:
- przetwarzanie danych szczególnie wrażliwych z naruszeniem art. 9 RODO,
- utrudnianie kontroli nowego urzędu chroniącego dane osobowe.
Jest to zgodne z art. 84 oraz motywem 149 Preambuły – RODO zezwala, by państwa wprowadziły sankcje karne za naruszenie w przepisach krajowych.
1 mln złotych grzywny, do 3 lata więzienia
8 lutego ukazał się kolejny projekt ustawy. Dokument jest zwrotem w stronę starych przepisów w zakresie regulacji karnych – definiuje 3 nowe przestępstwa związane z ochroną danych osobowych.
- 2 lat więzienia, ograniczenia wolności lub grzywny sięgającej 1 mln złotych może spodziewać się osoba, która bez uprawnień przetwarza dane osobowe. Podobnej kary może się spodziewać, jeśli przetwarzanie danych osobowych jest niedopuszczalne (art. 101 projektu).
- Kary ulegają zaostrzeniu, jeśli weźmiemy pod uwagę czyny związane z danymi szczególnie wrażliwymi. W takim przypadku kara zwiększa się do 3 lat więzienia (art. 101 projektu).
- 2 lata więzienia będzie grozić osobom, które udaremnią lub utrudnią kontrolę przestrzegania przepisów związanych z ochroną danych osobowych (art. 102 projektu).
Kary nie tylko dla osób bez uprawnień
W przypadku kary za przetwarzanie danych osobowych (punkty 1, 2), warto zwrócić uwagę, że sankcje dotyczą również osób, które wprawdzie mogą przetwarzać dane, jednak przetwarzają je, gdy jest to niedopuszczalne. Chodzi o sytuacje, gdy przetwarzanie danych wchodzi w konflikt z innymi zasadami przetwarzania danych, np. zasadami minimalizacji danych, ograniczenia przechowywani czy zasadą rzetelności.
Przykłady czynów, za które można zostać ukaranym
Wśród najpopularniejszych zachowań, które mogą zakończyć się pociągnięciem do odpowiedzialności karnej wymienić można:
- ujawnienie dokumentacji medycznej,
- wypłynięcie danych profilujących klientów w sklepie internetowym (uwzględniając preferencje seksualne),
- zakup bazy nielegalnie nabytych danych osobowych,
- posługiwanie się bazą rekordów (również legalnych) w innym celu niż założono (np. zamiast do celów edukacyjnych, używanie w celach marketingowych),
- przekazywanie danych, np. ubezpieczycielom.
Komu grożą sankcje karne?
Przestępstwo wobec RODO, zgodnie z ostatnim projektem, może popełnić każda osoba, która odpowiada za przetwarzanie danych. Może to być np.
- dyrektor działu ochrony danych osobowych,
- członek zarządu spółki,
- prokurent pełniący funkcje zarządcze,
- szeregowy pracownik.
Co istotne, przestępstwo względem RODO, może być popełnione świadomie – zamiar bezpośredni (gdy przestępca zdaje sobie sprawę z popełnionego czynu) lub w zamiarze ewentualnym (gdy przestępca przewiduje, że jego działanie może być niedopuszczalne, jednak nie rezygnuje z przetwarzania danych).
Już nie tylko 20 mln euro kary…
Jeszcze do niedawna, mówiąc o karach związanych z nieprzestrzeganiem RODO, wskazywano głównie wysokie kary administracyjne dla Administratorów Danych Osobowych tj. przedsiębiorców – 20 mln euro lub 4 proc. rocznego światowego obrotu przedsiębiorstwa (art. 83 RODO) – czytaj: RODO – stać Cię na płacenie kar?. Jeśli projekt ustawy wejdzie w życie, dojdzie jeszcze odpowiedzialność osobista wobec osób odpowiedzialnych za wdrożone systemu ochrony danych osobowych.
źródło: lexdigital.pl