Odpowiedzialność za naruszenie ochrony danych osobowych

Ogólne rozporządzenie o ochronie danych (RODO) nałożyło na administratorów i podmioty przetwarzające szereg nowych obowiązków w zakresie przetwarzania danych osobowych. Równolegle do obowiązków, zmieniły się również zasady ponoszenia odpowiedzialności za naruszenia przepisów ochrony danych osobowych. Brak zgodności z przepisami RODO może prowadzić nie tylko do odpowiedzialności administracyjnej egzekwowanej przez organ nadzoru, ale również do odpowiedzialności cywilnoprawnej, dochodzonej w postępowaniu sądowym. Co więcej, kolejny rodzaj odpowiedzialności, tym razem karną, wprowadza Ustawa o ochronie danych osobowych.

Odpowiedzialność administracyjna

Najczęstszym rodzajem komentowanej odpowiedzialności za naruszenie przepisów RODO jest odpowiedzialność administracyjna. A właściwie wysokość pieniężnych kar administracyjnych, które mogą zostać nałożone przez krajowe organy nadzoru. Zależnie od okoliczności każdego indywidualnego przypadku, kary pieniężne nakładane są obok lub zamiast środków naprawczych.

Nałożenie przez organ nadzoru kar pieniężnych lub obowiązku zastosowania właściwych środków naprawczych następuje po przeprowadzeniu postępowania administracyjnego. Postępowanie administracyjne może być natomiast wynikiem złożonej przez podmiot danych skargi lub przeprowadzonej kontroli.

RODO wyróżnia dwa przedziały kar pieniężnych:

  • do 10 mln euro, a w przypadku przedsiębiorstwa do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,
  • do 20 mln euro, a w przypadku przedsiębiorstwa do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Wyższa kara przewidziana jest m.in. za naruszenie podstawowych zasad przetwarzania danych osobowych czy naruszenie podstawowych obowiązków względem osób, których dane dotyczą, takich jak obowiązek informacyjny czy obowiązek związany z prawem do usunięcia danych.

Ustawa o ochronie danych osobowych przewiduje jednak mniejsze kary dla podmiotów sektora finansów publicznych:

  • jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–12 i 14 Ustawy o finansach publicznych, instytutu badawczego i Narodowego Banku Polskiego – w wysokości do 100 000 złotych (tj. np. szkoły, uczelnie, szpitale, ZUS, gminy, NFZ, sądy),
  • jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 Ustawy o finansach publicznych – w wysokości do 10 000 złotych (tj. np. teatry, opery, filharmonie, kina, muzea, biblioteki, domy kultury, galerie sztuki).

Oznacza to, że w razie naruszenia przepisów RODO, administracja będzie dużo łagodniej potraktowana niż przedsiębiorcy. Jest to jednak działanie usprawiedliwione. Administracja nie dysponuje bowiem własnymi środkami pieniężnymi, więc żeby zapłacić ewentualną karę, będzie musiała te środki wydzielić z tego, czym dysponuje na realizację swoich ustawowych zadań. Pomimo kary obowiązek ich realizacji pozostanie, zmniejszy się natomiast budżet. W tym wypadku tymi którzy na tym stracą, będą przede wszystkim obywatele. Mimo że pomniejszona, kara pieniężna i tak pozwoli na ukaranie podmiotu i działań osób, których zaniedbania doprowadziły do jej nałożenia.

Należy zaznaczyć, że samo stwierdzenie naruszeń przepisów RODO, które stanowią podstawę do nałożenia kary pieniężnej, nie obliguje organu do sięgnięcia po ten rodzaj sankcji. Organ zawsze ma bowiem możliwość zastosowania środków naprawczych o charakterze niepieniężnym. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla administratora nieproporcjonalne obciążenie, organ zamiast tego może udzielić upomnienia.

Organ nadzoru decydując o tym czy nałożyć karę pieniężną oraz ustalając jaka ewentualnie ma być jej wysokość, bierze pod uwagę:

  • charakter, wagę oraz czas trwania naruszenia,
  • umyślność lub nieumyślność naruszenia,
  • działania podjęte dla zminimalizowania szkody,
  • stopień odpowiedzialności z uwzględnieniem wdrożonych środków technicznych i organizacyjnych,
  • wszelkie mające znaczenie wcześniejsze naruszenia,
  • sposób, w jaki dowiedział się o naruszeniu,
  • zastosowanie się do wcześniej nałożonych środków naprawczych,
  • stosowanie kodeksów postępowania,
  • wszelkie inne czynniki obciążające lub łagodzące.

Zadaniem organu jest stosowanie takich sankcji, aby były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

Jeżeli w wyniku analizy naruszenia organ zdecyduje się zrezygnować z kary pieniężnej jako zbyt rygorystycznej w danym przypadku, może on zamiast tego zastosować wspomniane już środki naprawcze do których zaliczamy:

  • udzielanie upomnień,
  • nakazanie spełnienia żądania osoby, której dane dotyczą, wynikającego z przysługujących jej praw,
  • nakazanie dostosowania operacji przetwarzania do przepisów RODO, a w stosownych przypadkach wskazanie sposobu i terminu,
  • nakazanie zawiadomienia osoby, której dane dotyczą, o naruszeniu,
  • wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania,
  • nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym ujawniono dane osobowe,
  • cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia lub nieudzielania certyfikacji,
  • nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.
e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Odpowiedzialność cywilnoprawna

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora danych lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Wszczęcie postępowania sądowego jest możliwe niezależnie od skarg złożonych do organu nadzoru. Regulacja zawarta w art. 82 RODO ma charakter wyłącznie prywatnoprawny i dotyczy bezpośredniej relacji pomiędzy administratorem lub podmiotem przetwarzającym a podmiotem danych.

Administrator lub podmiot przetwarzający poniesie odpowiedzialność w przypadku wystąpienia łącznie następujących przesłanek:

  • poniesienia przez osobę, której dane dotyczą szkody (majątkowej lub niemajątkowej),
  • naruszenia przez administratora lub procesora przepisów RODO,
  • zaistnienia związku pomiędzy szkodą a naruszeniem,
  • wystąpienia winy w naruszeniu RODO.

Zgodnie z postanowieniami motywu 146, przetwarzanie dokonywane w sposób naruszający RODO obejmuje także przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na jego mocy oraz prawo państwa członkowskiego je doprecyzowujące. Tym samym, szkoda podmiotu danych może być spowodowana nie tylko niezgodnością postępowania z zasadami przetwarzania wskazanymi w RODO, ale również m.in. w Ustawie o ochronie danych osobowych, bądź Ustawie o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia. Warto przy tym pamiętać, że ostatnia z powołanych ustaw wprowadza zmiany w wielu przepisach sektorowych takich jak np. Kodeks Pracy czy Prawo bankowe.

Ciężar dowodu wystąpienia naruszenia spoczywa na podmiocie danych. Biorąc jednakże pod uwagę zasadę rozliczalności, administrator musi być w stanie wykazać przestrzeganie przez siebie przepisów ochrony danych osobowych. Sprowadzi się to zatem do tego, że ciężar udowodnienia zgodności przetwarzania zostanie przeniesiony na administratora, po przedstawieniu przez podmiot danych dowodów na wystąpienie naruszenia.

Odpowiedzialność solidarna

Jeżeli w tym samym procesie przetwarzania danych osobowych uczestniczy więcej niż jeden podmiot, ich odpowiedzialność będzie miała charakter solidarny. Ma to na celu przede wszystkim zapewnienie osobie, której dane dotyczą rzeczywiste uzyskanie odszkodowania lub zadośćuczynienia.

Administrator lub podmiot przetwarzający, który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych podmiotów uczestniczących w tym przetwarzaniu, zwrotu części kwoty odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność (roszczenie regresowe).

Podmiot przetwarzający odpowiada wyłącznie za szkody spowodowane niedopełnieniem przez niego obowiązków, które nakłada na niego RODO oraz za działania wbrew zgodnym z prawem instrukcjom administratora. Tym samym, o odpowiedzialności procesora możemy mówić w następujących przypadkach:

  • przepisy RODO nakładały na procesora obowiązki, których niewykonanie lub nienależyte wykonanie spowodowało szkodę,
  • procesor działał niezgodnie ze zgodnymi z prawem instrukcjami administratora,
  • procesor świadomie działał zgodnie z niezgodnymi z prawem instrukcjami administratora.

Z uwagi na powyższe, niezmiernie istotne jest właściwe określenie obowiązków podmiotu przetwarzającego, które powinno nastąpić w zawartej między nim a administratorem umowie powierzenia przetwarzania danych osobowych.

W przypadku podpowierzenia danych osobowych pełną odpowiedzialność za naruszenie spowodowane działaniami subprocesora ponosić będzie pierwotny podmiot przetwarzający.

Odpowiedzialność współadministratorów będzie miała również charakter solidarny. Co istotne ich solidarna odpowiedzialność wobec podmiotu danych, nie może zostać wyłączona we wspólnych uzgodnieniach, o których mowa w art. 26 RODO.

Odpowiedzialność karna

RODO nie reguluje kwestii związanych z odpowiedzialnością karną w razie je­go na­ru­sze­nia. Motyw 149 preambuły wskazuje jednak, że państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie jego postanowień, w tym za naruszenie krajowych przepisów przyjętych na jego mocy i w jego granicach.

Od­po­wie­dzial­ność kar­na za na­ru­sze­nie re­gu­la­cji do­ty­czą­cych ochro­ny da­nych oso­bo­wych została uję­ta przez polskiego prawodawcę w art. 107 Ustawy o ochronie danych osobowych. Zgodnie z tym przepisem, ten kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega:

  • grzywnie,
  • karze ograniczenia wolności,
  • karze pozbawienia wolności do lat dwóch, w przypadkach szczególnych kategorii danych osobowych, do lat trzech.

Z sytuacjami, kiedy przetwarzanie danych jest niedopuszczalne mamy do czynienia wówczas, gdy brak jest podstawy prawnej to przetwarzanie legalizującej. Wiąże się to zatem z naruszeniem art. 6 RODO (jeżeli przetwarzane są dane zwykłe) albo 9 RODO (jeżeli przetwarzane są szczególne kategorie danych). Należy przy tym również pamiętać o szczególnych warunkach przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa, a więc o art. 10 RODO.

Przetwarzanie danych przez osobę nieuprawnioną wiąże się z kolei z przypadkami, gdy osoba, która dane przetwarza pozostaje poza kręgiem podmiotów do tego upoważnionych, tj. w stosunku do przetwarzanych danych nie posiada statusu administratora, podmiotu przetwarzającego, dalszego podmiotu przetwarzającego lub nie dysponuje upoważnieniem do przetwarzania danych osobowych nadanym przez administratora.

Zgodnie z zasadami prawa karnego, odpowiedzialność karną na podstawie przepisów Ustawy o ochronie danych osobowych ponoszą zawsze oznaczone osoby fizyczne, którym ta odpowiedzialność może zostać przypisana. Kara pozbawienia wolności nie zostanie zatem orzeczona wobec administratora, lecz wobec jego pracownika, który dopuścił się niezgodnego z prawem przetwarzania danych osobowych.

Co istotne, przestępstwa wskazane w art. 107 Ustawy o ochronie danych osobowych mogą zostać popełnione wyłącznie umyślnie. Jeżeli zatem pracownik nie miał świadomości braku podstawy do przetwarzania danych, które procedował w ramach swoich obowiązków służbowych, ciężko mu taką odpowiedzialność będzie przypisać. Co innego w sytuacji umyślnego naruszenia przepisów, np. wyniesienie bazy danych poza strukturę administratora i jej sprzedaży.

Podsumowanie

Sankcje grożące za naruszenie zasad ochrony danych osobowych są dość dotkliwe. Mogą zostać nałożone nie tylko na administratora danych czy podmiot przetwarzający. Odpowiedzialność może spotkać również pracowników czy współpracowników tych podmiotów.

Do tej pory najwyższą karę za nieprzestrzeganie RODO nałożył francuski organ nadzoru. W styczniu br. Google zostało ukarane sankcją 50 mln euro. Jest to jasny sygnał, że czasy pobłażliwości w tym zakresie bezpowrotnie się skończyły, a ochrona danych osobowych powinna być traktowana bardzo poważnie. Również w Polsce.

Źródła:

Powiązane artykuły

Zasady pracy zdalnej a RODO – poradnik
Pusty rejestr naruszeń RODO – powód do dumy czy niepokoju?
Odpowiedzialność IOD, czyli za co IOD może odpowiadać

16 Odpowiedzi

  1. Moim zdaniem najgorsza jest odpowiedzialność finansowa za nieprzestrzeganie przepisów RODO. Myślę, że pewien gigant czyli Google może już coś o tym powiedzieć. Z drugiej jednak strony przy ich przychodzie rocznym to jak „ugryzienie komara” 😉

  2. Jacek

    A oto stosowanie ochrony danych osobowych w praktyce.Syg akt II SA/Wa 1369/19,gdzie zapomniano przedstawić i odnieść do odpowiedzialności karnej i cywilnej za nękanie za cudzy dług.Sygn akt.II SA/Wa 2758/19,gdzie nie odniesiono się do maila wzywającego do spłaty zadłużenia(cudzego długu) będącym w aktach sprawy. Obydwa orzeczenia zapadły w W.S.A. w Warszawie.

    1. Lex Artist

      W pierwszej kolejności należy skontaktować się z tą osobą i wezwać do zaprzestania wykorzystywania danych. Należy przy tym pamiętać, że tu nie obowiązują przepisy RODO, ponieważ mamy tu wyłączenie – czynności o charakterze czysto osobistym. Odpowiedzialność kształtują inne przepisy prawa np. Kodeksu Cywilnego. Pozdrawiamy!

  3. Karolina

    Czy zgodne z przepisami RODO (lub innymi) jest wykorzystanie przez Prezesa Klubu sportowego (dziecięcego) i trenera z tego klubu danych osobowych rodziców dziecka (adres e-mail złożony z imienia i nazwiska oraz roku urodzenia rodzica oraz adres domowy), w celach prywatnych, szczególnie po oficjalnej rezygnacji z członkostwa w Klubie?

    1. Lex Artist

      Dzień dobry 🙂 z opisu sprawy wynika, że podane dane powinny być usunięte wraz z rezygnacją z członkostwa, ale nie jest wykluczone,że część może być przetwarzana w celu prowadzenia akt członków Klubu. Generalnie o celach i długości przechowywania danych członkowie powinni być powiadomieni w trakcie przyjęcia do Klubu. Podane dane nie mogą być wykorzystywane w innych celach niż zostały pozyskane, wykorzystanie ich do innych celów jest niezgodne z przepisami dot. ochrony danych osobowych. Pozdrawiamy!

  4. TYLKOPYTAM

    Jaka jest odpowiedzialność za umieszczenie w urzędzie administracji publicznej papierowej wrzutowej skrzynki podawczej , nie zamykanej a więc takiej , do której każdy ma dostęp ?

    1. Lex Artist

      Dzień dobry, w opisanym przypadku trudno ocenić, czy będziemy mieli do czynienia z odpowiedzialnością administracyjna czy cywilną czy karną. Wszystko zależy od oceny organu nadzorczego (wysokość kary), wartości ryzyka naruszeń praw i wolności osób w przypadku ewentualnego naruszenia ochrony danych osobowych. W naszej ocenie istotne jest również zgłoszenie urzędowi niewłaściwego zabezpieczenia wrzutowej skrzynki podawczej w celu zapobieżenia utraty danych. Pozdrawiamy!

  5. Jacek

    Witam.W pozwie administracyjnym wysłanym do urzędu miasta przez prywatną osobę,został podany numer pesel mojej żony.Osoba składająca pozew,nie miała dostępu do danych osobowych mojej żony,ani nie została upoważniona do posługiwania się tymi danymi,jak do tej sytuacji mają się przepisy RODO?

    1. Lex Artist

      Witamy 🙂

      RODO ogranicza obowiązki w zakresie ochrony danych osobowych dla sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Wyłączenie to dotyczy postępowań przez Sądem najwyższym, administracyjnym, powszechnym, wojskowym. W tym przypadku obowiązują m.in.procedury wynikające z ustawy – Prawo o postępowaniu przed sądami administracyjnymi (analogicznie jak w odniesieniu do sądów powszechnych zasady przetwarzania danych osobowych określają przepisy ustaw szczególnych, np. Kodeks postępowania cywilnego).

      Idąc dalej, art. 9 ust. 2 pkt f) RODO wprost wskazuje, że nawet bez zgody osoby zainteresowanej można przetwarzać jej dane osobowe, jeśli przetwarzanie jest niezbędne do ustalenia, dochodzenia i obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy.

      pozdrawiamy!

  6. Marek

    Dzień dobry. Proszę o odpowiedź, czy przekazując prokuraturze zdjęcia sprawcy w postępowaniu wszczętym przez Policję na moje zawiadomienie naruszyłem prawo? Nadmieniam, że zdjęcia (w formie wydruku) przekazałem jako dowód w sporządzonym przeze mnie zażaleniu na umorzenie dochodzenia.

    1. Lex Artist

      Dzień dobry, w przypadku przetwarzania danych osobowych przez policję stosujemy przede wszystkim przepisy Ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (tzw. ustawa DODO). W prowadzonym postępowaniach bardzo często dochodzi do udostępnianie danych osobowych policji. W tym zakresie obowiązują już przepisy kodeksu postępowania karnego m.in. art. 15 kpk
      Pozdrawiamy!

  7. Anna

    Witam, będę wdzięczna za odpowiedź na pytanie: czy publikacja danych osobowych jak imię nazwisko pesel adres zameldowania osoby prywatnej przez osobę prywatną na Facebook widoczne dla wszystkich podlega pod art. 107 ustawy o ochronie danych osobowych? Czy można zgłosić na policję zawiadomienie o możliwości popełnienia przestępstwa?

    1. Łukasz Zegarek

      Dzień dobry,

      Tak, jest to naruszenie przepisów o ochronie danych osobowych. Może Pani zgłosić tę sprawę na policję. Z naszego doświadczenia niestety policja niechętnie (i mało skutecznie) zajmuje się tego typu sprawami. Nie zawsze zresztą jest to wina samej policji – często „kłody pod nogi” przy identyfikacji sprawcy rzuca sam Facebook, który bardzo niechętnie udostępnia dane swoich użytkowników. Również policji.

      Pozdrawiamy!

  8. Tomek

    Dzień dobry
    Czy związki zawodowe mogą żądać od pracodawcy regularnych, kwartalnych informacji o odprowadzanych przez pracodawcę na wniosek pracownika zkładek związkowych? Powołując się przy tym na ustawa z dnia 29 października 2021 o podatku dochodowym od osób fizycznych…. Z tego co się orientuje informacja o składkach jest już w PIT-11. Czy mimo to należy tworzyć takie raporty?

    1. Łukasz Zegarek

      Dzień dobry,

      Tak, związki zawodowe mogą żądać od pracodawcy informacji o odprowadzanych składkach, jak i innych informacji niezbędnych do prowadzenia działalności związkowej. Obowiązek ten wynika z art. 28 Ustawy o związkach zawodowych.

      Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO