Nie tylko administracyjna kara pieniężna cz. 2

1 rok temu

W poprzednim artykule omówiliśmy kwestie uprawnień naprawczych, którymi dysponuje Prezes UODO poza lub obok administracyjnych kar pieniężnych. Niniejszy tekst ma za zadanie przybliżenie zagadnień związanych z odpowiedzialnością karną za bezprawne przetwarzanie danych osobowych. W ramach uwag wprowadzających należy wskazać, iż odpowiedzialność karną ponosi osoba fizyczna zdolna do jej ponoszenia. Czyli co do zasady osoba, która w chwili popełnienia czynu ukończyła 17 lat i była zdolna do rozpoznania znaczenia swoich czynów – której można przypisać winę. Prawo karne jako ultima ratio powinno być stosowane jako środek ostateczny. Dlatego zakres kryminalizacji jest węższy niż generalne naruszenie przepisów RODO.

Warto również pamiętać, iż przestępstwa przeciwko informacjom – danym osobowym, opisane zostały przez ustawodawcę. Nie tylko w Ustawie o ochronie danych osobowych, ale też przepisach Kodeksu karnego. Poniżej omówione zostanie jedynie przestępstwo niezgodnego z prawem lub nieuprawnego przetwarzania danych, a także bezprawnego uzyskania informacji.

Niezgodne z prawem lub nieuprawnione przetwarzanie danych osobowych

W art. 107 Ustawy o ochronie danych osobowych ustawodawca przewidział, iż kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo karze więzienia do lat 2.

Należy zwrócić uwagę, iż odpowiedzialność karną na mocy ww. przepisu znajduje zastosowanie jedynie do tych przypadków, do których stosuje się przepisy RODO. Tym samym odpowiedzialności karnej na podstawie wskazanego przepisu nie będzie podlegał sprawca. Sprawca który dopuszcza się przetwarzania danych w zakresie nieobjętym zakresem RODO, np. w ramach czynności o czysto domowym lub osobistym charakterze.

Następnie trzeba wskazać, iż niedopuszczalnym przetwarzaniem danych osobowych jest dokonywanie na nich operacji przetwarzania bez możliwości oparcia tych czynności na którekolwiek z przesłanek legalizujących wyrażonych w art. 6 ust. 1 lub art. 9 ust. 2 RODO.

Przykład: przedsiębiorca – osoba fizyczna, pozyskuje z darknetu bazę danych klientów, w tym adresy e-mail, numery telefonów, informacje o stanie zdrowia, a następnie kieruje do tych osób oferty ubezpieczeń zdrowotnych oraz zakupu sprzętu medycznego dopasowanego do stanu zdrowia danej osoby.

Z kolei omówienie przesłanki przetwarzania danych pomimo braku uprawnień, wymaga wskazania, iż na gruncie RODO dane osobowe mogą być przetwarzane przez administratora oraz podmiot przetwarzający, a także przez podmioty działające w ich imieniu oraz w granicach udzielonego im upoważnienia.

Przykład: pracownik działu windykacji został dopuszczony przez swojego pracodawcę do przetwarzania danych osobowych dłużników, celem prowadzenia wobec nich windykacji telefonicznej i mailowej. Pracownik postanowił jednak dorobić sobie do pensji i nawiązał współpracę z firmą specjalizującą się w upadłościach konsumenckich. Przekazuje firmie tej numery telefonu oraz adresy e-mail dłużników swojego pracodawcy. W ten sposób dopuszcza się on nieuprawnionego przetwarzania danych osobowych.

Wskazany czyn zabroniony, może być popełniony jedynie umyślnie – sprawca musi więc chcieć go popełnił albo godzić się na to. Nie ma, przy tym znaczenia, czy na skutek działania sprawcy doszło do wyrządzenia jakiejkolwiek szkody. Trzeba też zwrócić uwagę, iż o ile sprawca będzie w sposób niedopuszczalny albo nieuprawniony przetwarzał dane szczególnych kategorii (np. dane dotyczące stanu zdrowia, orientacji seksualnej, przynależności do partii politycznych), będzie podlegał on surowszej odpowiedzialności karnej. To jednak: grzywnie, karze ograniczenia wolności albo więzienia do 3 lat.

Chociaż w przestrzeni publicznej omawiane przypadki postępowań karnych z tytułu naruszenia art. 107 UODO nie są tak szeroko nagłaśniane, jak administracyjne kary pieniężne wymierzone przez Prezesa UODO. Warto jednak mieć świadomość, iż w latach 2020-2023 Policja wszczęła odpowiednio 466, 438 oraz 430 postępowań przygotowawczych. Postepowań w sprawach o popełnienie ww. przestępstwa (informacja przekazana przez KGP na wniosek autora artykułu).

Bezprawne uzyskanie informacji

Kolejnym przestępstwem przeciwko informacjom, które zasługuje na uwagę jest bezprawne uzyskanie informacji, o którym mowa w art. 267 § 1 Kodeksu karnego. Przepis ten często utożsamia się z hackingiem. Ten ostatni zaś kojarzy nam się intuicyjnie z zaawansowanymi technologicznie hackerami, którzy łamią hasła przy wykorzystaniu specjalistycznych narzędzi. Tymczasem ww. przestępstwa dokonać może tak naprawdę każdy, choćby niezaawansowana technologicznie osoba.

W myśl wskazanego przepisu kto, bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej albo przełamując, albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenia, podlega grzywnie, karze ograniczenia wolności albo więzienia do 2 lat.

Informacjami w rozumieniu tego przepisu są również dane osobowe. Wyprowadzić to można już z samej definicji danych osobowych przyjętej w art. 4 pkt 1 RODO, który stanowi, iż są to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Aby popełnić ww. przestępstwo sprawca nie tylko musi wejść w posiadanie nieprzeznaczone dla niego informacji. Musi to uczynić w jeden ze sposób opisanych w tym przepisie, czyli przez:

  • otwarcie zamkniętego pisma, np. wyjętego ze skrzynki pocztowej listu, czy choćby listu znalezionego na ulicy;
  • podłączenie się do sieci telekomunikacyjnej;
  • przełamanie albo ominięcie zabezpieczeń – np. złamanie hasła do konta użytkownika na profilu społecznościowym metodą prób i błędów, wykorzystanie ataku socjotechnicznego celem uzyskania hasła itd. (zob. szerzej: P. Łuczyński, Open Source Intelligence w kontekście wybranych czynów zabronionych, Studia z Prawa i Administracji, 2/2023, s. 13).

Wskazane przestępstwo można popełnić jedynie umyślnie. W wyniku podjętych przez siebie działań sprawca ma wejść w posiadanie informacji dla siebie nieprzeznaczonej. Przy czym nie ma znaczenia w jakim celu to czyni. Nie musi też wyrządzić szkody swoim działaniem. Przestępstwo to może popełnić każda osoba zdolna do ponoszenia odpowiedzialności karnej.

***

Warto pamiętać, iż za popełnienie ww. przestępstw odpowiadają co do zasady jednostki, które je popełniły, choćby o ile działają one w ramach określonej struktury, np. w ramach spółki.

Ściganiem przestępstw zajmują się organy ścigania, a więc wszelkie zgłoszenia/podejrzenia w tym zakresie należy zgłaszać Policji lub prokuratorowi. Organem adekwatnym do przyjmowania i rozpatrywania zawiadomień o przestępstwie nie jest natomiast Prezes UODO. Organ ten nie dysponuje uprawnieniami do prowadzenia dochodzeń, a także do rozstrzygania kwestii karnoprawnych, w tym do wnoszenia aktów oskarżenia. o ile jednak popełnienie przestępstwa ma związek z naruszeniem przez administratora lub podmiot przetwarzający obowiązków nałożonych na nich na mocy RODO, wówczas poza odpowiedzialnością karną jednostki, możliwa jest też odpowiedzialność tych podmiotów – w oparciu o przepisy RODO i w ramach wynikającej z tych przepisów odpowiedzialności administracyjnoprawnej.

Idź do oryginalnego materiału