3 lata więzienia za niewłaściwe przetwarzanie danych osobowych
Martwe przepisy ustawy o ochronie danych osobowych
W treści obowiązującej od przeszło dwóch dekad ustawy o ochronie danych osobowych istniało aż 9 przepisów, których naruszenie traktowane było jak przestępstwo. Przepisy były surowe, ale w praktyce okazały się nieskuteczne. W ciągu 20 lat organy ścigania wszczynały około 300 spraw rocznie, z których zdecydowaną większość umarzano. Kary, przeważnie była to niewielka grzywna, doczekało się w tym czasie niespełna 300 osób.
– Karane były głównie działania niefrasobliwe, takie jak wyrzucenie dokumentacji osobowej na śmietnik, porzucenie przesyłek pocztowych przez listonoszy, czy udostępnienie systemu informatycznego osobie nieuprawnionej – mówi Michał Jackowski, General Counsel w LexDigital.
Nikt nigdy nie został skazany na karę więzienia, mimo, że najsurowsze zagrożenie to aż trzy lata. Ustawa z 1997 roku była często krytykowana. Zarzucano dużą rozbieżność w systemie – z jednej strony wiele przepisów, teoretycznie surowych, z drugiej niemal całkowity brak ich skuteczności. Większość przedsiębiorców działała i działa nadal bez jakiejkolwiek świadomości, że każdego dnia narażają się na zarzuty i oskarżenie.
RODO a krajowa ustawa o ochronie danych osobowych
RODO nie zawiera przepisów karnych. Zezwala jednak na to, aby państwa rozważyły, czy w przepisach krajowych wprowadzić sankcje karne za naruszenie jego przepisów. Wychodząc naprzeciw krytyce starej ustawy, autorzy nowej polskiej regulacji wprowadzającej RODO w życie, początkowo postanowili w ogóle ich nie wprowadzać. Pierwotny projekt z marca 2017 roku nie przewidywał, by naruszenie rozporządzenia było przestępstwem.
W dniu 8 lutego 2018 roku ukazał się kolejny już projekt nowej ustawy o ochronie danych osobowych, wieńczący długie konsultacje społeczne. Dokument ten stanowi powrót do rozwiązań polskich z czasów przed RODO, w zakresie regulacji karnych. Zawiera bowiem trzy nowe przestępstwa odnoszące się do danych osobowych.
Nowa ustawa o ochronie danych osobowych
W nowym projekcie ustawy, 2 lata więzienia, ograniczenie wolności albo grzywna aż do miliona złotych, grożą osobie, która przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne, albo do których nie jest uprawniona. Jeszcze ostrzejsze kary dotyczą czynów ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, biometrycznych, o stanie zdrowia, seksualności lub orientacji seksualnej. Sprawca takiego czynu może zostać skazany aż na 3 lata więzienia.
Przestępstwo popełnia nie tylko ten, kto nie miał prawa przetwarzania danych (bo np. nie uzyskał wymaganej prawem zgody). Sprawcą może być również osoba, która ma podstawę prawną do przetwarzania danych, ale czyni to, gdy przetwarzanie nie jest dopuszczalne, bo narusza inne zasady przetwarzania danych.
– Przestępstwem będzie zarówno zakup bazy nielegalnie nabytych rekordów, dalsze posługiwanie się nimi, ale również często spotykana w firmach sytuacja, gdy rekordy zostały pozyskane legalnie, ale zebrano je dla celów edukacyjnych albo sprzedażowym, a przedsiębiorca chce je wykorzystać w celu marketingowym albo udostępnia te dane dalej – wywiadowniom, ubezpieczycielom itp. – mówi Michał Jackowski z LexDigital.
Kto może być sprawcą takiego przestępstwa?
– Każda osoba, która w firmie odpowiada za przetwarzanie danych, a więc członek zarządu spółki, prokurent pełniący funkcje zarządcze, dyrektor działu odpowiedzialnego za przetwarzanie danych a nawet pracownik, który dopuścił się naruszenia przepisów ustawy – dodaje Michał Jackowski.
Trzecim przestępstwem zagrożonym do 2 lat więzienia będzie udaremnienie lub utrudnienie kontroli przestrzegania nowych przepisów. Karane będą takie czynności jak uniemożliwienie kontrolerom wstępu do firmy, utrudnienie przeszukania, ukrywanie dokumentów, czy też uniemożliwienie kontaktu z określonymi osobami. To również wyjście naprzeciw wcześniejszym zastrzeżeniom, że w sytuacji, gdy jest to wykroczenie, dużo bardziej opłacalnym będzie narażeniem się na 5000 złotych grzywny, niż narażenie spółki na wielomilionową karę. Po tej zmianie osoba utrudniająca kontrolę ryzykuje znacznie więcej.
Zmiany w prawie
Milionowe kary za nieprzestrzeganie nowego prawa
Jeśli ustawa w tym brzmieniu wejdzie w życie, to nie tylko spółka, narażona jest na milionowe kary za niewłaściwe przestrzeganie RODO (zgodnie z art. 83 do 20 milionów EURO lub 4% całkowitego rocznego światowego obrotu). Także osoby odpowiedzialne za wdrożenie systemu ochrony danych mogą zostać pociągnięte do osobistej odpowiedzialności.
Warto zwrócić uwagę, że wymienionych przestępstw nie można popełnić nieumyślnie. Nie popełnia więc przestępstwa osoba, która odpowiada w organizacji za ochronę danych osobowych, a która naruszyła obiektywnie przepisy RODO, ale działając w zaufaniu do zatwierdzonych kodeksów postępowania, rekomendacji Prezesa Urzędu Ochrony Danych Osobowych, czy wytycznych inspektora ochrony danych zatrudnionego w firmie.
Z tego powodu, nawet gdy przepisy prawa nie wymagają, by w organizacji powołany został inspektor, gdy przetwarzamy dane, a nie jesteśmy pewni, czy naruszamy przepisy, warto skorzystać z oferty zatrudnienia w niej Inspektora Ochrony Danych. Także pomoc inspektora w trakcie kontroli pozwoli na jej przeprowadzenie bez narażenia się na zarzuty.
oprac. : eGospodarka.pl