Ustawodawca unijny nie wprowadza sankcji karnych za niezgodne z prawem przetwarzanie danych osobowych. Nie oznacza to jednak, że nie przewidział możliwości ich określenia przez poszczególne państwa członkowskie. Zgodnie z art. 84 ust. 1 rozporządzenia 2016/679 państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.
Polski ustawodawca skorzystał z powyższej możliwości i wprowadził w ustawie z dnia 10 maja 2018 r. możliwość nałożenia także sankcji karnej (oprócz sankcji administracyjnych i ponoszenia odpowiedzialności cywilnej). Czyny zabronione opisane w art. 107 i 108 przywołanej ustawy są przestępstwami. Oznacza to nie tylko zagrożenie wyższą karą niż w przypadku odpowiedzialności za popełnienie wykroczenia, ale również wpisanie wyroku skazującego do Krajowego Rejestru Karnego.
W art. 107 ustawy z dnia 10 maja 2018 r. uregulowano odpowiedzialność za bezprawne przetwarzanie danych osobowych. W ust. 1 określono typ podstawowy przestępstwa odnoszącego się do przetwarzania tzw. danych zwykłych. Odpowiedzialność ponosi ten, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony. W ust. 2 uregulowano typ kwalifikowany dotyczący bezprawnego przetwarzania szczególnych kategorii danych.
Pojęcie przetwarzania danych powinno być przy tym interpretowane szeroko, zgodnie z definicją zawartą w art. 4 pkt 2 rozporządzenia 2016/679, w myśl której „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Przetwarzanie danych osobowych jest także niedopuszczalne, jeżeli dany podmiot wyraził skuteczny sprzeciw względem przetwarzania danych osobowych zgodnie z treścią art. 21 rozporządzenia 2016/679. Podstawą do uznania, że dane osobowe przetwarzała osoba nieuprawniona, jest natomiast okoliczność, że osoba ta nie posiada uprawnień do wykonywania tych czynności. Aby uznać, że w sposób legalny nastąpiło przetwarzanie danych osobowych, uprawnienie powinno wynikać z mocy prawa lub z upoważnienia wydanego przez administratora lub podmiot dokonujący przetwarzania danych.
Art. 108 ust. 1 ustawy z dnia 10 maja 2018 r. opisuje przestępstwo polegające na udaremnianiu lub utrudnianiu kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych. Ust. 2 odnosi się natomiast do czynów polegających na tym, że osoba w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.
W literaturze udaremnianie kontroli zostało zdefiniowane jako jej utrudnianie, które może polegać na niewpuszczaniu do danego miejsca osób, które są uprawnione do przeprowadzenia kontroli, a także na zniszczeniu, ukryciu, usunięciu dokumentów, które stanowią przedmiot kontroli. Udaremnianie polega również na niedopuszczeniu do oględzin materiałów kontroli, jak również uniemożliwieniu sprawdzenia maszyn, urządzeń lub pomieszczeń oraz udzielaniu nieprawdziwych informacji lub odmówieniu ich udzielania.
Odpowiedzialność karna ma być jednak wyjątkiem przewidzianym wyłącznie dla najcięższych naruszeń przepisów. Stanowi uzupełnienie dla szeroko uregulowanej odpowiedzialności administracyjnej i cywilnej, a nie główną oś gwarancji przestrzegania przepisów o ochronie danych osobowych.
Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny penalizuje inne czyny, które mogą być rozważane w kontekście naruszenia poufności lub prywatności. Należy wspomnieć o art. 190a Kodeksu karnego., w którym jest mowa o kradzieży tożsamości – wykorzystaniu wizerunku innej osoby, innych danych osobowych lub danych, za pomocą których ta osoba jest publicznie identyfikowana i podszyciu się pod nią w celu wyrządzenia jej szkody majątkowej lub osobistej. Art. 266 Kodeksu karnego odnosi się natomiast do ujawnienia lub wykorzystywania informacji, z którą osoba zapoznała się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu. Z kolei art. 267 Kodeksu karnego. przewiduje odpowiedzialność osoby, która bez uprawnienia uzyskuje dostęp do informacji dla niej nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie. Dodatkowo karze podlega osoba, która w celu uzyskania informacji, do której nie jest uprawniona, zakłada urządzenie podsłuchowe, wizualne albo inne urządzenie lub oprogramowanie lub posługuje się nim. Odpowiedzialności karnej za czyn określony w art. 267 Kodeksu karnego. podlega np. osoba, która w sposób nieuprawniony uzyskała dostęp do czyjejś elektronicznej skrzynki pocztowej czy też chatu w mediach społecznościowych, również wówczas, gdy taki dostęp uzyskała na skutek np. niewylogowania się przez kogoś z takiego konta.
Innymi przepisami Kodeksu karnego, które mogą zostać zastosowane w razie ataku na infrastrukturę informatyczną, są art. 268, 268a i 287 Kodeksu karnego. W doktrynie wskazuje się, że nakładanie za ten sam czyn sankcji karnych i administracyjnych może prowadzić do złamania zakazu podwójnego karania. Takie zagrożenie istnieje w szczególności wówczas, gdy istota i surowość sankcji wskazują na jej charakter karny. W kontekście art. 83 ust. 2 zdanie pierwsze rozporządzenia 2016/679 należy stwierdzić, że takim uprawnieniom określonym przez prawo krajowe do nałożenia odpowiedzialności karnej nie mogą towarzyszyć sankcje w postaci kar pieniężnych ani też kary pieniężne nie mogą zastępować środków prawnych wynikających z takich dodatkowych (krajowych) uprawnień organów nadzorczych.
Maciej Sobiech
dyrektor Oddziału Wielkopolskiego
doradca podatkowy nr 09809
radca prawny nr wpisu 1845
