Zapraszamy na cykl bezpłatnych webinarów: cyberbezpieczeństwo, bezpieczeństwo IT, analiza ryzyka   Więcej

Odpowiedzialność karna 
na tle ustawy DODO

DODO

Przepisy ustawy DODO kształtują odpowiedzialność karną na tle ochrony danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.

W odróżnieniu od znanych z RODO mechanizmów administracyjnych kar pieniężnych, ustawa DODO motywuję administratora do działań zgodnych z przepisami prawa poprzez odpowiedzialność karną.


We wskazanej ustawie DODO (ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości - Dz.U. 2019 poz. 125) wprowadzono normy karne dotyczące niezgodnego z prawem przetwarzania danych osobowych oraz udaremniania lub utrudniania przeprowadzenia kontroli. Podstawę sformułowania tych regulacji odnajdziemy w motywie 89 oraz art. 57 dyrektywy 2016/680, które mówią o przyjęciu przez państwa członkowskie przepisów określających sankcje za naruszenie przepisów krajowych przyjętych na podstawie dyrektywy 2016/680. Sankcje te mają być skuteczne, proporcjonalne i odstraszające. Podobne, lecz nie tożsame przepisy karne odnajdziemy w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. 2019 poz. 1781).

Jakie działania są karalne na gruncie ustawy DODO?

Ustawa DODO reguluje przetwarzanie danych osobowych w celach rozpoznawania, zapobiegania popełnianiu, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności. Ustawodawca wprowadził dwa przestępstwa dotyczące przetwarzania takich danych osobowych.

Nielegalne przetwarzanie lub brak uprawnienia do przetwarzania danych

Przestępstwo dotyczące przetwarzania danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości uregulowano w art. 54 ustawy DODO. Polega ono na przetwarzaniu danych osobowych, których przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jesteśmy uprawnieni. o niedopuszczalności przetwarzania danych osobowych możemy mówić wtedy, gdy podstawą tego procesu nie będzie przesłanka prawna legalizująca to przetwarzanie. Zgodnie z ustawą DODO taką podstawą jest przetwarzanie danych osobowych wyłącznie w zakresie niezbędnym dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

Brak uprawnienia do przetwarzania danych osobowych, o którym mowa w art. 54 ustawy DODO, odnosi się zaś do sytuacji, gdy mimo posiadania legalnej podstawy przetwarzania danych osoba, która dokonuje przetwarzania, nie została do tego upoważniona w ramach danej kategorii czynności przetwarzania.

DODO

Ponadto należy wskazać, że przetwarzanie danych wrażliwych – zdefiniowanych w art. 14 ustawy DODO jako dane osobowe ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, dane dotyczące seksualności i orientacji seksualnej osoby fizycznej – jest dopuszczone, jeżeli:

  • przepis prawa zezwala na takie działanie lub
  • jest to niezbędne dla ochrony życia lub zdrowia, lub interesów osoby, których dane dotyczą, lub innej osoby, lub
  • takie dane zostały upublicznione przez osobę, której dotyczą.

Udaremnienie lub istotne utrudnienie przeprowadzenia kontroli przestrzegania przepisów

Przestępstwo dotyczące udaremnienia lub istotnego utrudnienia przeprowadzenia kontroli przestrzegania przepisów ustawy DODO określono w jej art. 55. Udaremnienie lub istotne utrudnienie kontrolującemu przeprowadzenia kontroli musi dotyczyć kontroli przestrzegania przepisów o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Odpowiedzialności karnej będą podlegać osoby, które w istotny sposób przyczynią się do zakłócenia działań kontrolnych organu nadzorczego lub też całkowicie je uniemożliwią, np. przez niewpuszczenie kontrolujących na teren administratora albo odmówienie im wglądu do zbioru danych podlegających kontroli oraz do innych dokumentów mających bezpośredni związek z przedmiotem kontroli.

Jak kształtuje się odpowiedzialność karna?

Gdy przetwarzanie danych osobowych nie jest dopuszczalne albo jest dokonywane przez osobę, która nie jest do tego uprawniona, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeżeli przedmiotem przetwarzania są dane wrażliwe, górna granica pozbawienia wolności wzrasta do trzech lat.

W zakresie udaremnienia lub istotnego utrudnienia kontrolującemu przeprowadzenia kontroli odpowiedzialność usankcjonowano jako grzywnę, karę ograniczenia wolności albo karę pozbawienia wolności do lat dwóch. Należy wskazać, że tak określonej odpowiedzialności karnej będą podlegać jedynie osoby, które dokonały omówionych działań w sposób umyślny, a więc z konkretnym zamiarem (świadomością i wolą).

Podsumowanie

Nadto nie można zapomnieć, że administrator danych także na kanwie przepisów DODO ponosi odpowiedzialność cywilną wobec osób, które poniosły szkodę lub krzywdę w wyniku czynności naruszających przepisy ustawy DODO. Ważnym elementem odpowiedzialności jest także to, że podmioty stosujące przepisy ustawy DODO będą, w pewnym zakresie, stosować przepisy RODO, a co za tym idzie mogą na ich podstawie ponieść odpowiedzialność finansową.

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Piotr Liwszic
06 stycznia 2020

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się