Czy karna ochrona danych osobowych ma jeszcze sens?

28 września 2018 |

 

Od razu odpowiadamy – TAK! I choć liczba postępowań karnych wszczętych przed 25 maja 2018 r. nie była liczna, a skuteczność sankcji karnych nie przynosiła spektakularnego rezultatu w świadomości ochrony danych to jednak tych, których dotknęła z pewnością czegoś nauczyła. Redakcja RODOkomapsu doświadczyła ostatnio dziwnego zjawiska – umorzenia niezakończonych, a wszczętych jeszcze na gruncie starych przepisów, postępowań karnych. Powód? Sądy twierdzą, że doszło do depenalizacji większości przestępstw przewidzianych poprzednimi przepisami (!). W naszej opinii doświadczamy totalnego absurdu i niezrozumienia zarówno poprzedniej jak i obecnej regulacji. Ale po kolei.

 

 

 

W czym tkwi problem?

 

Rozdział 8 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zawierał bogatą paletę przepisów karnych. Były to przepisy szczególne w stosunku do przepisów kodeksu karnego i zawierały bardzo szczegółowo opisane zachowania, które można było „podpiąć” pod opisane w tych przepisach przestępstwa. Z dniem 25 maja 2018 r. przysłowiowo poszły one w piach. Czy to jednak oznacza, że odpowiedzialność karna za naruszenie przepisów z zakresu ochrony danych nie istnieje? JAK NAJBARDZIEJ ISTNIEJE!

 

Argument nr 1 – kodeks karny

 

Jeszcze na gruncie poprzedniej regulacji wskazywano, że jeżeli danego zachowania nie można było „podpiąć” pod przepisy szczególne ustawy z dnia 29 sierpnia 1997 r., to nie wykluczało to sięgnięcia do „konstytucji” przepisów karnych, czyli kodeksu karnego, który w Rozdziale XXXIII zawiera pokaźny katalog przestępstw przeciwko ochronie informacji. Także uzasadnienie do obecnie obowiązującej ustawy wskazuje na taką możliwość.

 

Argument nr 2 – „worek” z art. 107

 

Art. 107 ust. 1 nowej ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. jest niczym worek, do którego wrzucono wszystkie przypadki przestępstw dotyczące niezgodnego z prawem przetwarzania, które były zawarte w Rozdziale 8 uchylonej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. W czym tkwi jego specyfika? Najlepiej zobrazuje to przytoczenie jego treści: „kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.” Co daje nam ten przepis? Bardzo wiele! Przede wszystkim możliwość przypisania odpowiedzialności podmiotowi, który dokonuje czynności wpisujących się w katalog przetwarzania nie mając ku temu podstaw prawnych, umownych czy stosownego upoważnienia. Dzięki temu przepisowi możemy przypisać odpowiedzialność karną na przykład procesorowi, który przetwarza dane niezgodnie z treścią umowy powierzenia poprzez ich udostępnienie osobom trzecim bez posiadania ku temu oparcia w treści stosunku umownego bądź korzysta z nich dla własnych celów jako „dziki” administrator, tj. bez podstawy prawnej. Art. 107 nowej ustawy  z całą pewnością pochłania zatem przewidziane na gruncie uchylonej ustawy przestępstwa: przetwarzania danych bez podstawy prawnej i/lub umownej czy bez stosownego upoważnienia (art. 49 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych) oraz udostępnienia danych osobom nieupoważnionym (art. 51 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych). Możliwości zaliczenia danego zachowania jako czynu zabronionego jest zatem tak wiele, jak wiele jest czynności wpisujących się w definicję przetwarzania, a jak wiemy – możliwych operacji na danych jest może nie równie wiele jak mrówek w mrowisku, ale nadal bardzo dużo 🙂

 

Argument nr 3 – przepisy szczególne

 

W ramach wielu przepisów sektorowych znajdują się przepisy karne, których warto poszukać. Przykładem jest penalizowanie naruszenia tajemnicy ubezpieczeniowej na podstawie ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej.

 

Depenalizacja tylko w pewnym stopniu

 

Fakt, iż kilka przestępstw przewidzianych w Rozdziale 8 uległo depenalizacji. Są to jednak przestępstwa, które nie wpisują się w czynności przetwarzania lub których dalsze istnienie nie miało by sensu z uwagi na wygaśnięcie niektórych obowiązków, które przewidywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. I tak, przyznajemy że depenalizacji uległ obowiązek zabezpieczenia danych, wykonania klauzuli informacyjnej oraz rejestracji zbioru danych. Z tym że dwa pierwsze przestępstwa po prostu nie wpisują się w czynność przetwarzania, z kolei od 25 maja 2018 r. nie istnieje już wymóg rejestracji zbioru danych.

 

Dlaczego zatem odpowiedzialność karna jest marginalizowana?

 

„Bo RODO kładzie nacisk na odpowiedzialność administracyjną i cywilną”, „bo przemawia za tym wykładnia celowościowa i funkcjonalna przepisów”, „bo ustawodawca zastrzega odpowiedzialność karną do najcięższych przypadków” – z takimi opiniami się zetknęliśmy. Zaraz, zaraz. Zatrzymajmy się na chwilę, weźmy głęboki oddech i zastanówmy się nad takimi argumentami.

 

Czyżby RODO nie wskazywało w art. 84 RODO zobowiązania do przyjęcia innych sankcji za jego naruszenie? Zdecydowanie taki przepis jest zwieńczeniem RODO w regulacji poświęconej odpowiedzialności za jego naruszenie niczym wisienka na torcie! RODO wprost obliguje do określania innych sankcji, które państwa UE powinny wdrożyć i stosować!

 

Czy wykładnia celowościowa i funkcjonalna nie powinna być stosowana wówczas, gdy literalna budzi wątpliwości? Zanim odpowiemy na pytanie, spieszymy z wyjaśnieniem, czym jest każda ze wskazanych wykładni. Na wstępie trzeba wskazać, iż wykładnię prawa stosujemy wówczas, gdy przepisy budzą wątpliwości. Czy jasny, dla wszystkich, którzy „czują” przepisy z zakresu ochrony danych osobowych, art. 107 ustawy z dnia 10 maja 2018 r. potrzebuje wykładni? W naszej opinii nie! Przepis bowiem wprost mówi, że jeżeli dany podmiot przetwarza dane choć tego nie może (bo nie posiada ku temu podstawy prawnej, umownej czy stosownego upoważnienia), to podnosi odpowiedzialność. Z kolei RODO wskazuje, co należy rozumieć pod pojęciem przetwarzania, podając na tacy definicję tego słowa. Dla osób, którzy po raz pierwszy sięgają do regulacji z zakresu ochrony danych taka wykładnia może okazać się jednakże konieczna. Na początku pewne wątpliwości mogą bowiem pojawić się przy pojęciu „przetwarzania”. W takiej sytuacji w pierwszej kolejności należy sięgnąć po wykładnię literalną. Wykładnia literalna to nic innego jak przełożenie znaczenia przepisu przy użyciu językowych dyrektyw wykładni: języka prawnego (definicji prawnych) bądź języka potocznego. Jak zastosować te dyrektywy? W pierwszej kolejności korzystamy z języka prawnego z którego wyczytujemy, jak mamy rozumieć dane pojęcia na podstawie „słowniczka” zawartego w akcie normatywnym, a dopiero w przypadku jego braku korzystamy z języka potocznego, czyli danemu pojęciu nadajemy znaczenie wynikające ze słownika języka polskiego. Jak wyżej napisaliśmy, RODO posiada definicję przetwarzania, zatem na tej podstawie wiemy jakie to słowo ma znaczenie. Dopiero, gdyby wykładnia językowa nie rozwiewała wątpliwości, powinniśmy sięgnąć do wykładni celowościowej i funkcjonalnej. Wykładnia systemowa to zrozumienie przepisu poprzez system prawa w którym on funkcjonuje, natomiast celowościowa nakazuje tłumaczyć przepis pod kątem celu, któremu ma on służyć. Dlaczego zatem przekreśla się wynik analizy językowej przepisu, jeżeli nie budzi on wątpliwości?! Tego nie rozumiemy, a argument iż przepis ten jest zbyt ogólny do nas nie trafia. Z przepisu tego należy wyczytać wprost, iż wolą parlamentu jest penalizowanie wszystkich czynności przetwarzania, które naruszają koronne zasady RODO, takie jak przetwarzanie bez podstawy prawnej, umownej czy bez posiadania uprawnienia. I tak, tak, wiemy, w uzasadnieniu do ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych wskazano, iż ma być ona zastrzeżona dla najcięższych przypadków. I w tym miejscu przechodzimy do kolejnego punktu.

 

Czy dokonanie czynności przetwarzania które naruszają przepisy RODO, na przykład takich jak udostępnienie danych osobie nieuprawnionej czy przetwarzanie przez taką osobę danych nie jest jednym z cięższych przypadków naruszenia ochrony danych? Zdecydowanie jest! Przecież sama idea RODO powstała m.in. w związku z masowym, niezgodnym z prawem udostępnianiem baz danych, w tym z uwagi na przypadki ich sprzedaży, a w konsekwencji na korzystanie z danych przez podmioty nieuprawnione. Jak zatem można twierdzić, iż taki czyn nie jest jednym z cięższych przypadków naruszenia ochrony danych? Pozostawiamy to do rozważenia, tym którzy twierdzą inaczej.

 

 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.

 

 


Skontaktuj się z doradcą

Porozmawiajmy

Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ