Przepisy karne ustawy o ochronie danych osobowych

Tomasz Ziomek
specjalista ds. ochrony danych osobowych
tomasz.ziomek@lex-artist.pl
(22) 253 28 18 Zobacz inne posty autora

02-15_u

Często nie zdajemy sobie sprawy z tego, że ustawa o ochronie danych osobowych uznaje naruszenie przepisów w niej zawartych za przestępstwa ścigane z urzędu, zagrożone karą nawet do 3 lat pozbawienia wolności. Warto wiedzieć co może nam grozić za naruszenie tych przepisów, ale także w jaki sposób te przepisy chronią nasze dane osobowe.

Według art. 49 – 54a Ustawy o ochronie danych osobowych, przestępstwem jest:

 Przetwarzanie  w zbiorze danych osobowych, w sytuacji gdy brak przesłanki do ich przetwarzania

Chodzi tu o brak przesłanki pozwalające na przetwarzanie danych, np. zgody lub przepisu prawa. Takie przetwarzanie jest zwyczajnie nielegalne. Jednak nawet jeśli przetwarzanie tych danych jest dopuszczalne, to nie każda osoba będzie uprawniona do ich przetwarzania. Takimi osobami są jedynie Administrator Danych oraz osoby przez niego upoważnione. Szczególne zaostrzenie odpowiedzialności dotyczy sytuacji, kiedy nielegalnie przetwarzane są dane wrażliwe.

Przetwarzanie danych osobowych w zbiorze niezgodnie z celem utworzenia zbioru

Odpowiedzialność ta dotyczy bezpośrednio jedynie Administratora Danych, który zobowiązany jest „trzymać się” celu dla którego dane zostały zebrane. Przykładowo – nie możemy danych swoich pracowników zebranych w związku z zatrudnieniem zacząć wykorzystywać w akcjach marketingowych, jeśli nie wyrażą na to zgody.

Udostępnianie danych lub umożliwianie dostępu do nich osobom nieupoważnionym

Warto zwrócić uwagę, że karalne jest zarówno udostępnienie i umożliwienie dostępu. Co to oznacza w praktyce? Nie jest warunkiem popełnienia przestępstwa to, aby osoba nieupoważniona faktycznie zapoznała się z danymi. Przestępstwo to można więc popełnić nawet nieumyślnie np. pozostawiając dokumenty w łatwo dostępnym miejscu.

 Naruszanie obowiązku zabezpieczenia

Podobnie jak we wcześniejszym akapicie – karane jest samo naruszenie obowiązku, nie musi faktycznie dojść do utraty tych danych. Uwaga – osobą nieuprawnioną może być nawet kolega z pracy, który nie jest upoważniony do przetwarzania tych danych. Karalne jest niezabezpieczenie danych przed ich kradzieżą, uszkodzeniem, a nawet zniszczeniem.

Niezgłoszenie do rejestracji zbioru danych osobowych, przez osobę do tego obowiązaną

Odpowiedzialność ta dotyczy jedynie Administratora Danych jako osoby zobowiązanej do rejestracji zbioru danych. Warto jednak zauważyć, że karalne jest jedynie niezgłoszenie zbioru. Oznacza to, że  nie musimy czekać na faktyczne zarejestrowanie zbioru (chyba, że dotyczy to danych wrażliwych).

Niespełnienie obowiązku informacyjnego wobec osoby której dane dotyczą

Każda osoba której dane są przetwarzane ma prawo wiedzieć kto, w jakim celu i w jakim zakresie je przetwarza. Administrator Danych ma bowiem obowiązek informować taką osobę o tym na wniosek (jeżeli dane pochodzą od niej) lub z własnej inicjatywy (jeżeli zebrał te dane bez jej wiedzy).

Utrudnianie czynności kontrolnych

Odpowiedzialności karnej podlega również każda osoba, która udaremnia lub utrudnia czynności kontrolne Inspektorom GIODO.

Warto w tym miejscu wspomnieć o przestępstwie kradzieży tożsamości, które choć nie opisane we wspomnianej ustawie wiąże się bezpośrednio z kwestiami danych osobowych. Jest to przestępstwo dosyć nowe – pojawiło się w Kodeksie Karnym obok stalkingu w 2011r.

Zjawisko to opisywaliśmy już we wcześniejszym artykule. Przypomnijmy jednak –  zgodnie z art. 190 Kodeksu Karnego: „Tej samej karze [pozbawienia wolności do lat 3 – przyp. red.] podlega, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej”.

Ochrona danych osobowych to droga dwukierunkowa. Z jednej strony nakłada na nas obowiązki, z drugiej jednak daje nam prawa i zapewnia, że nasze dane będą przetwarzane zgodnie z prawem.

Jeżeli masz jakieś wątpliwości – Zadaj nam pytanie lub skorzystaj z pomocy profesjonalistów.

Komentarze

Komentarze (4) do “Przepisy karne ustawy o ochronie danych osobowych”

  1. Marta, 28 lip 2015 o 9:13

    Dzień dobry! Kilka lat temu aplikowałam do pewnej firmy. Od tego czasu dostaję od niej maile z ofertami handlowymi. Pomimo, że wysłałam maila z prośbą o usunięcie mojego adresu e-mail z bazy mailingowej, na którego otrzymałam odpowiedź „dobrze, usunę”, dalej dostaję niechciane wiadomości. Co mogę w tej sytuacji zrobić? Jakie konsekwencje może ponieść ta firma? Pozdrawiam

  2. Kancelaria Lex Artist, 7 sie 2015 o 10:01

    Zgodnie z art. 49 Ustawy o ochronie danych osobowych osoba przetwarzająca dane osobowe w zbiorze mimo, że ich przetwarzanie jest niedopuszczalne (z uwagi na Pani sprzeciw), podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Oprócz samodzielnego skontaktowania się z firmą i podkreśleniem nielegalności przetwarzania danych wraz ze wskazaniem na podstawę prawną, należy skierować skargę do Generalnego Inspektora Ochrony Danych Osobowych który może nakazać zaprzestania tych działań oraz wystosować wystąpienie do Administratora Danych.

  3. PietrasG, 27 paź 2015 o 16:51

    Witam, zgłosiłem się do jednego z reklamacją obuwia. Miałem otrzymać maila z informacją jak została rozpatrzona reklamacja. Wydaje mi się że maila nie dostałem, dlatego poprosiłęm o wydrukowanie mi potwierdzenia że mail został faktycznie wysłany. Otrzymałem od kierownictwa kartkę że mail był wysłany. Na tej kartce podane są również maile do kilkudzieisięciu innych osób które też coś reklamowały. Jaką ja mogę mieć pewność że dana firma nie rozdaje wszystkim klientom takich kartek i że mój adres mailowy podawany jest innym osobą??? jakie konsekwencje może ponieść ta firma??? Pozdrawiam

  4. Kancelaria Lex Artist, 6 lis 2015 o 11:32

    Opisana przez Pana sytuacja stanowi naruszenie przepisów o ochronie danych osobowych. Może Pan spróbować najpierw na własną rękę skontaktować się z tą firmą i dowiedzieć, czy udostępnienie całej listy mailingowej klientów reklamujących produkt było tylko jednorazowym incydentem, czy też ta firma nie używa opcji kopii ukrytej, wysyłając maile.
    Radykalniejszym krokiem będzie złożenie od razu skargi do Generalnego Inspektora Ochrony Danych Osobowych. Zostanie wówczas wszczęte wyjaśniające postępowanie administracyjne. Jeśli GIODO nie dopatrzy się innych uchybień – można przypuszczać na podstawie dotychczas wydanych decyzji – stwierdzi naruszenie, ale skargę oddali. Samo udostępnienie adresów mailowych stanowi bowiem zachowanie nieodwracalne. A GIODO może zareagować na uchybienie nakazem przywrócenia stanu zgodnego z prawem. Tutaj nie ma już takiej możliwości, nie cofnie się wysłanych maili. Wówczas GIODO jedynie może wezwać tę firmę do konieczności uwzględniania w jej działalności przepisów ustawy o ochronie danych osobowych. Oczywiście jeśli postępowanie GIODO wykaże inne uchybienia, firma może ponieść poważniejsze konsekwencje (kara pieniężna, odpowiedzialność karna). Por. decyzja GIODO DOLiS/DEC-475/13/25648,25652

Zostaw komentarz