Odpowiedzialność karna za bezprawne przetwarzanie danych osobowych

Funkcjonujące w polskim porządku prawnym od 25 maja 2018 r. przepisy dotyczące ochrony danych osobowych, wynikające z Ogólnego Rozporządzenia o Ochronie Danych, umożliwiają nałożenie sankcji na administratorów danych osobowych na licznych płaszczyznach. Unijny prawodawca w uchwalonej treści rozporządzenia, przewiduje wprost sankcje administracyjne oraz cywilne. Jednakże należy pamiętać, iż w pewnych przypadkach osoba przetwarzająca w sposób bezprawny dane osobowe może spotkać się również z sankcjami karnymi.

W art. 84 Rozporządzenia przyznano państwom członkowskim Unii Europejskiej uprawnienie do wprowadzenia również innych sankcji niżeli jedynie te wskazane wprost w treści Rozporządzenia.

Korzystając z wyżej wskazanego uprawnienia polski prawodawca, w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych, uwzględnił sankcje karne za bezprawne przetwarzanie danych osobowych.

Zgodnie z treścią art. 107 UODO „1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

2. 2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.”

Przestępstwa określonego w art. 107 UODO można się dopuścić jedynie umyślnie, w zamiarze bezpośrednim lub ewentualnym. Zamiar bezpośredni występuje wówczas gdy sprawca chce popełnić czyn zabroniony natomiast zamiar ewentualny wystąpi gdy sprawca, przewidując możliwość jego popełnienia, na to się godzi.

Obok odpowiedzialności karnej ukształtowanej na gruncie art. 107 UODO, ustawodawca przewidział również w art. 108 UODO sankcję karną za udaremnianie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych oraz za niedostarczenie Prezesowi UODO danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej. W obydwu przypadkach sprawca czynu zabronionego podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Źródła:

1. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781),
2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).