Przepisy karne ustawy o ochronie danych osobowych

Artykuł dotyczy odpowiedzialności za naruszenia przepisów ochronie danych osobowych wg. stanu prawnego sprzed 25.05.2018.
Aktualną treść artykułu dotyczącego odpowiedzialności za naruszenia RODO znajdziesz tutaj: Odpowiedzialność za naruszenia RODO.

Często nie zdajemy sobie sprawy z tego, że ustawa o ochronie danych osobowych uznaje naruszenie przepisów w niej zawartych za przestępstwa ścigane z urzędu, zagrożone karą nawet do 3 lat pozbawienia wolności. Warto wiedzieć co może nam grozić za naruszenie tych przepisów, ale także w jaki sposób te przepisy chronią nasze dane osobowe.

Według art. 49 – 54a Ustawy o ochronie danych osobowych, przestępstwem jest:

 Przetwarzanie  w zbiorze danych osobowych, w sytuacji gdy brak przesłanki do ich przetwarzania

Chodzi tu o brak przesłanki pozwalające na przetwarzanie danych, np. zgody lub przepisu prawa. Takie przetwarzanie jest zwyczajnie nielegalne. Jednak nawet jeśli przetwarzanie tych danych jest dopuszczalne, to nie każda osoba będzie uprawniona do ich przetwarzania. Takimi osobami są jedynie Administrator Danych oraz osoby przez niego upoważnione. Szczególne zaostrzenie odpowiedzialności dotyczy sytuacji, kiedy nielegalnie przetwarzane są dane wrażliwe.

Przetwarzanie danych osobowych w zbiorze niezgodnie z celem utworzenia zbioru

Odpowiedzialność ta dotyczy bezpośrednio jedynie Administratora Danych, który zobowiązany jest „trzymać się” celu dla którego dane zostały zebrane. Przykładowo – nie możemy danych swoich pracowników zebranych w związku z zatrudnieniem zacząć wykorzystywać w akcjach marketingowych, jeśli nie wyrażą na to zgody.

Udostępnianie danych lub umożliwianie dostępu do nich osobom nieupoważnionym

Warto zwrócić uwagę, że karalne jest zarówno udostępnienie i umożliwienie dostępu. Co to oznacza w praktyce? Nie jest warunkiem popełnienia przestępstwa to, aby osoba nieupoważniona faktycznie zapoznała się z danymi. Przestępstwo to można więc popełnić nawet nieumyślnie np. pozostawiając dokumenty w łatwo dostępnym miejscu.

 Naruszanie obowiązku zabezpieczenia

Podobnie jak we wcześniejszym akapicie – karane jest samo naruszenie obowiązku, nie musi faktycznie dojść do utraty tych danych. Uwaga – osobą nieuprawnioną może być nawet kolega z pracy, który nie jest upoważniony do przetwarzania tych danych. Karalne jest niezabezpieczenie danych przed ich kradzieżą, uszkodzeniem, a nawet zniszczeniem.

Niezgłoszenie do rejestracji zbioru danych osobowych, przez osobę do tego obowiązaną

Odpowiedzialność ta dotyczy jedynie Administratora Danych jako osoby zobowiązanej do rejestracji zbioru danych. Warto jednak zauważyć, że karalne jest jedynie niezgłoszenie zbioru. Oznacza to, że  nie musimy czekać na faktyczne zarejestrowanie zbioru (chyba, że dotyczy to danych wrażliwych).

Niespełnienie obowiązku informacyjnego wobec osoby której dane dotyczą

Każda osoba której dane są przetwarzane ma prawo wiedzieć kto, w jakim celu i w jakim zakresie je przetwarza. Administrator Danych ma bowiem obowiązek informować taką osobę o tym na wniosek (jeżeli dane pochodzą od niej) lub z własnej inicjatywy (jeżeli zebrał te dane bez jej wiedzy).

Utrudnianie czynności kontrolnych

Odpowiedzialności karnej podlega również każda osoba, która udaremnia lub utrudnia czynności kontrolne Inspektorom GIODO.

Warto w tym miejscu wspomnieć o przestępstwie kradzieży tożsamości, które choć nie opisane we wspomnianej ustawie wiąże się bezpośrednio z kwestiami danych osobowych. Jest to przestępstwo dosyć nowe – pojawiło się w Kodeksie Karnym obok stalkingu w 2011r.

Zjawisko to opisywaliśmy już we wcześniejszym artykule. Przypomnijmy jednak –  zgodnie z art. 190 Kodeksu Karnego: „Tej samej karze [pozbawienia wolności do lat 3 – przyp. red.] podlega, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej”.

Ochrona danych osobowych to droga dwukierunkowa. Z jednej strony nakłada na nas obowiązki, z drugiej jednak daje nam prawa i zapewnia, że nasze dane będą przetwarzane zgodnie z prawem.

Jeżeli masz jakieś wątpliwości – Zadaj nam pytanie lub skorzystaj z pomocy profesjonalistów.

Powiązane artykuły

Odpowiedzialność IOD, czyli za co IOD może odpowiadać
korespondecja z UODO
Korespondencja z UODO – 7 najczęstszych błędów
Wdrożenie RODO - korzyści
Wdrożenie RODO – to się naprawdę opłaca!

27 Odpowiedzi

  1. Marta

    Dzień dobry! Kilka lat temu aplikowałam do pewnej firmy. Od tego czasu dostaję od niej maile z ofertami handlowymi. Pomimo, że wysłałam maila z prośbą o usunięcie mojego adresu e-mail z bazy mailingowej, na którego otrzymałam odpowiedź „dobrze, usunę”, dalej dostaję niechciane wiadomości. Co mogę w tej sytuacji zrobić? Jakie konsekwencje może ponieść ta firma? Pozdrawiam

    1. Kancelaria Lex Artist

      Zgodnie z art. 49 Ustawy o ochronie danych osobowych osoba przetwarzająca dane osobowe w zbiorze mimo, że ich przetwarzanie jest niedopuszczalne (z uwagi na Pani sprzeciw), podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Oprócz samodzielnego skontaktowania się z firmą i podkreśleniem nielegalności przetwarzania danych wraz ze wskazaniem na podstawę prawną, należy skierować skargę do Generalnego Inspektora Ochrony Danych Osobowych który może nakazać zaprzestania tych działań oraz wystosować wystąpienie do Administratora Danych.

  2. PietrasG

    Witam, zgłosiłem się do jednego z reklamacją obuwia. Miałem otrzymać maila z informacją jak została rozpatrzona reklamacja. Wydaje mi się że maila nie dostałem, dlatego poprosiłęm o wydrukowanie mi potwierdzenia że mail został faktycznie wysłany. Otrzymałem od kierownictwa kartkę że mail był wysłany. Na tej kartce podane są również maile do kilkudzieisięciu innych osób które też coś reklamowały. Jaką ja mogę mieć pewność że dana firma nie rozdaje wszystkim klientom takich kartek i że mój adres mailowy podawany jest innym osobą??? jakie konsekwencje może ponieść ta firma??? Pozdrawiam

    1. Kancelaria Lex Artist

      Opisana przez Pana sytuacja stanowi naruszenie przepisów o ochronie danych osobowych. Może Pan spróbować najpierw na własną rękę skontaktować się z tą firmą i dowiedzieć, czy udostępnienie całej listy mailingowej klientów reklamujących produkt było tylko jednorazowym incydentem, czy też ta firma nie używa opcji kopii ukrytej, wysyłając maile.
      Radykalniejszym krokiem będzie złożenie od razu skargi do Generalnego Inspektora Ochrony Danych Osobowych. Zostanie wówczas wszczęte wyjaśniające postępowanie administracyjne. Jeśli GIODO nie dopatrzy się innych uchybień – można przypuszczać na podstawie dotychczas wydanych decyzji – stwierdzi naruszenie, ale skargę oddali. Samo udostępnienie adresów mailowych stanowi bowiem zachowanie nieodwracalne. A GIODO może zareagować na uchybienie nakazem przywrócenia stanu zgodnego z prawem. Tutaj nie ma już takiej możliwości, nie cofnie się wysłanych maili. Wówczas GIODO jedynie może wezwać tę firmę do konieczności uwzględniania w jej działalności przepisów ustawy o ochronie danych osobowych. Oczywiście jeśli postępowanie GIODO wykaże inne uchybienia, firma może ponieść poważniejsze konsekwencje (kara pieniężna, odpowiedzialność karna). Por. decyzja GIODO DOLiS/DEC-475/13/25648,25652

  3. pytająca

    Rejestrując się na wydarzenie na uczelni musiałam podać imię, nazwisko oraz adres mailowy. Jako potwierdzenie rejestracji otrzymałam maila zaadresowanego do mnie i do kilkudziesięciu innych osób. Oczywiście wszystkie adresy mailowe widoczne, niektóre z imionami i nazwiskami. Przy rejestracji pytano jedynie o zgodę na otrzymywanie informacji handlowej drogą mailową. Moja prośba o nieudostępnianie adresu innym została zignorowana – dostałam jeszcze 2 podobne potwierdzenia. Czy takie udostępnianie adresów mailowych stanowi naruszenie?

    1. Kancelaria Lex Artist

      Opisana przez Panią sytuacja jest oczywistym naruszeniem przepisów i na podstawie art. 51 Ustawy o ochronie danych osobowych osoba administrująca zbiór danych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega, grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

  4. piotrekdr01

    Witam,jestem pracownikiem cywilnym wojska ,pracujemy w grupie 20 osób. Jakiś czas temu okazało się, że u kilku pracowników zostały podrobione podpisy na wnioskach urlopowych. Osoby te zgłosiły sprawę na policję. Na wniosek prokuratora zakład wydał podrobione wnioski dla policjanta prowadzącego sprawę. Na policji został przesłuchiwany nasz kierownik.W zeznaniach tych przeczytaliśmy, że kierownik sam dołączył 85 wniosków urlopowych wszystkich pracowników, na których jest imię i nazwisko pracownika, adres zamieszkania ,imię ojca oraz pesel . Do tego dodał, że wszystkie dokumenty dotyczące pracownika kseruje dla swoich potrzeb i zostawia sobie, a orginały dostarcza do kadr gdzie zostają umieszczone w dokumentacji pracownika.Czy wyniesienie takich dokumentów z takimi danymi osobowymi bez zgody tych osób oraz zgody dowódcy jednostki, który jest naszym pracodawcą jest zgodne z ustawą o ochronie danych osobowych? Należy dodać, że kierownik dostarczył te wnioski na policję z własnej nie przymuszonej woli i nie wiadomo czemu miały służyć, a do tego wszystkiego nie jest osobą uprawnioną do przetwarzania danych osobowych.

    1. Kancelaria Lex Artist

      Udostępnienie wniosków urlopowych powinno odbyć się za wiedzą administratora danych (pracodawcy) i na wniosek prokuratora. W innym przypadku przekazanie dokumentów można uznać za udostępnienie danych osobowych osobom nieuprawnionym, za co grozi odpowiedzialność z art. 51 u.o.d.o. Niedopuszczalna jest sytuacja, w której pracownik wynosi akta osobowe, ich fragment lub jakiekolwiek dokumenty zawierające dane osobowe, bez wiedzy administratora danych.
      Jeżeli zaś kierownik, w związku z wykonywaniem obowiązków służbowych, posiada dostęp do wniosków urlopowych pracowników, powinien on dysponować nadanym mu przez administratora danych osobowych upoważnieniem do przetwarzania danych osobowych. W przypadku braku takiego upoważnienia kierownik może ponieść odpowiedzialność karną na podstawie art. 49 u.o.d.o. Natomiast administrator danych udostępniając dane osobowe osobom nieupoważnionym naraża się na odpowiedzialność wynikająca z art. 51 u.o.d.o. Kserowanie dokumentów przez kierownika jest jednak niczym nieuzasadnione i nie powinno być dłużej praktykowane.

  5. EWA

    Udowodniono osobie w Polsce kradzież listu w którym zagraniczny notariusz podał dane osobowe /adres, daty urodzenia, drzewo genealogiczne/ 12 osób mających prawo do spadku. Osoba która ukradła ten list powiela go i rozsyła do innych, także urzędów aby szkodzić tym którzy maja dostać spadek. czy to podlega karze, co mam zrobić ?

    1. Kancelaria Lex Artist

      W przedstawionej sytuacji niewątpliwie doszło do naruszenia dóbr osobistych (osób, których dane zostały ujawnione w liście (art. 23 i 24 Kodeksu Cywilnego). Powołane przepisy są materialną podstawą wytoczenia sprawy cywilnej przed sądem cywilnym o naruszenie dóbr osobistych i o odszkodowanie z tym związane. W związku z kradzieżą listu mogło również dojść do popełnienia przestępstwa w rozumieniu przepisów Kodeksu Karnego. W związku z tym należy złożyć zawiadomienie o możliwości popełnienia przestępstwa we właściwej jednostce policji lub prokuraturze.

  6. tosia

    Dzień dobry,
    Ja mam taki oto problem: z początkiem roku znalazłam w mojej skrzynce list. Automatycznie otworzyłam, ale jak się okazało list był adresowany na mój adres, jednak nazwisko było innej osoby. Dodam, że list zawierał harmonogram spłacania rat, był to list dot spłat rat zaciągniętego kredytu bankowego. Nie zastanawiałam się długo i zadzwoniłam na infolinię do banku-nadawcy pisma, wyjaśniając że osoba do której zaadresowali list nie mieszka pod moim adresem i że wnoszę o zaprzestanie wykorzystywania mojego adresu domowego w ten sposób. Odniosłam list na pocztę, z informacją że taka osoba nie mieszka pod wskazanym w korespondencji adresem. Niestety dziś znowu w skrzynce znalazłam list z tego samego banku adresowany na tę osobę. co mam zrobić w tej sytuacji? dodam, że obawiam się ewentualnych nieprzyjemności, gdy okaże się że komornik zapuka do moich drzwi w celu ściągnięcia niepłaconego kredytu!

    1. Kancelaria Lex Artist

      W celu wyjaśnienia całej sytuacji należy udać się tym razem do oddziału banku, z którego otrzymuje Pani korespondencję, a następnie wytłumaczyć, że osoba, do której adresowane są listy nie mieszka pod tym adresem. W takim wypadku bank powinien podjąć stosowne czynności i doprowadzić do wyjaśnienia sprawy.

  7. Anna

    Witam,

    co zrobić w sytuacji gdy wiemy, że dana firma w sposób nielegalny pozyskuje dane osobowe osób, które trafiają po wypadkach do szpitala (numer telefony, imię, nazwisko, adres, pesel itp.) w celu dotarcia do tych osób i sprzedania im usługi. Gdzie możemy taki proceder zgłosić?

    1. Kancelaria Lex Artist

      Należy udać się do właściwej jednostki prokuratury lub policji celem złożenia zawiadomienia o możliwości popełnienia przestępstwa, a także poinformować o tej sytuacji Generalnego Inspektora Ochrony Danych Osobowych.

  8. mika

    witam a ja mam pytanie Zostalam przez pewien portal w necie oskarzona o to ze nie jestem tym za kogo sie podaje na potalu oraz o to ze moje zdjecia nie sa moje tylko mam je z sieci
    na pytanie z jakiej i gdzie barak odp przez admina portalu , mialam oplcone konto a admin mi je zablokowal , wiec zrobilam nowe i to samo , dzis chyba 10 razy blokowla mi konto az dzis zablokowal mi Ip

    powod naruszenie regulaminiu tym ze nie jestem kobieta ale facetem co nie jest prawda
    tym ze ja to nie ja a fotki z neta

    zadne argumenty nie docieraja do admina , tlunaczenie ze fotki sa moje czy w tej sytuacji moge to zgllosic na policje ?

    1. Kancelaria Lex Artist

      W tej sytuacji powinna Pani przede wszystkim dokładnie zapoznać się z warunkami korzystania z portalu internetowego, które są dostępne w regulaminie. Znajdują się w nim informacje o tym czy administrator może zablokować konto użytkownika serwisu internetowego, a jeżeli tak to w jakich sytuacjach jest do tego uprawniony. Następnie warto ponownie spróbować wyjaśnić tę sprawę kierując do administratora pisemne zapytanie z prośbą o konkretne wskazanie, który punkt regulaminu został naruszony. Jeżeli to nie przyniesie rezultatu, zalecamy złożenie oficjalnej reklamacji na podstawie regulaminu lub ustawy o świadczeniu usług drogą elektroniczną. Jeżeli powyższe działania nie przyniosą skutku można rozważyć zgłoszenie tej sprawy na policję.

    1. Kancelaria Lex Artist

      Składając zawiadomienie o możliwości popełnienia przestępstwa należy podać wszelkie informację, które mogą być pomocne Policji w wykryciu sprawcy. Dodatkowo zachęcamy do zapoznania się z poradnikiem „Jak złożyć zawiadomienie o przestępstwie” opracowanym przez Biuro Służby Kryminalnej Komendy Głównej Policji, który jest dostępny pod wskazanym linkiem.
      https://mswia.gov.pl/download/1/21867/Poradnik.pdf

  9. Piotr

    Powódka w sprawie złożonej do sądu rodzinnego złożyła dokumenty przez osobę reprezentującą, swojego prawnika. W tych dokumentach znalazły się między innymi CV strony zainteresowanej – pozwanego oraz moje.
    Na obydwu dokumentach w stopce znajduje się klauzula dotycząca uprawnień do użytkowania CV tylko dla celów rekrutacji.
    „Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w mojej ofercie pracy dla potrzeb niezbędnych do realizacji procesu rekrutacji (zgodnie z Ustawą z dnia 29.08.1997 o ochronie danych osobowych, Dziennik Ustaw Nr 133, pozycja.883).”
    Czy wykorzystanie CV w sprawie jest zgodne z prawem jeśli nie ma na to naszej zgody pisemnej.
    Zgodnie z treścią CV jest tam wiele informacji na nasz temat ewidentnie wskazujących nasze zamieszkanie, pochodzenie itd.

  10. Ostatnio podałem pewnej osobie mój dowód osobisty do weryfikacji i mam podejrzenie, że wykradła moje dane osobowe i teraz mam problemy. Co zrobić z tym problemem? Marcin.

    1. Kancelaria Lex Artist

      Witamy, niestety w opisywanej sprawie posiadamy za mało szczegółów. Sugerujemy ewentualne przeanalizowanie problemu wraz z prawnikiem 🙂 pozdrawiamy

  11. Ewa

    Dzień dobry wszystkim 🙂 Posiadam hodowle kotow (zarejestrowaną) i mam problem z klubem do którego przynależałam. Problem polega na tym, ze jeden z właścicieli kota, nie wywiązał się z umowy odnośnie sterylizacji kotki. Rodowód miałam wysłać po sterylizacji. Pan, który kotkę nabył napisał do klubu w sprawie rodowodu i klub napisał mi, ze wszystkie rodowody zostaną do mnie wysłane, prócz tego jednego. Klub zarządził, ze rodowod wysle sam temu Panu. Rodowody są moja własnością, nie klubu i według mnie nie może on sobie od tak dysponować moja własnością. Mam nadzieje, ze się nie mylę i są jakieś paragrafy odnośnie, dysponowania przez klub i osoby trzecie nie ich własnością (rodowodem) Bardzo proszę o pomoc

    1. Kancelaria Lex Artist

      Dzień dobry! Dziękujemy za pytanie, jednak zadała Pani pytanie, na które (niestety) prawo ochrony danych osobowych nie da Pani odpowiedzi – sprawa nie ma żadnego związku z danymi osobowymi. Pozdrawiamy! 🙂

  12. Angelika

    Witam,
    od kilku miesięcy obca osoba korzysta z mojego adresu mailowego. Zakłada konta w sklepach internetowych, kupuje rzeczy na swoje nazwisko i adres zamieszkania. Ja natomiast na maila dostaję non stop faktury, newslettery i pełno niechcianego spamu. Czy jest jakiś paragraf mówiący o bezprawnym korzystaniu z cudzego adresu mailowego?
    Pozdrawiam.

  13. Dawid

    Witam czy firma windykacyjna ma prawo wydzwaniania do moich rodziców z prośbą, żebym ja się skontaktował z tą firmą?? I czy ta firma ma obowiązek poinformować mnie z ką mają numer do moich rodziców??
    Informacja z tej firmy że posiadają dane rodziców z powszechnych źródeł i firm które robią to na ich zlecenie mnie nie satysfakcjonuje co mogę zrobić??
    Czy to jest rozpowszechnianie moich i rodziców danych osobowych??

    1. Kancelaria Lex Artist

      Dzień dobry. Mogą Państwo przykładowo uzyskać informację, kto jest administratorem danych osobowych. Zdarza się, że firmy windykacyjne są tylko podmiotami przetwarzającymi (procesorami) dane osobowe w czyimś imieniu (najczęściej podmiotu, na rzecz którego świadczą usługi windykacyjne). Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO