107 RODO: definicja i znaczenie w praktyce prawnej
Tematyka ochrony danych osobowych kojarzy się większości przedsiębiorców oraz menedżerów z gigantycznymi administracyjnymi karami finansowymi nakładanymi przez Prezesa Urzędu Ochrony Danych Osobowych. Jednak ramy prawne ochrony danych w Polsce kryją w sobie znacznie dalej idące konsekwencje, w tym odpowiedzialność o charakterze stricte karnym. Kluczowym punktem odniesienia w tym obszarze jest art. 107 RODO, który w polskim porządku prawnym rezonuje bezpośrednio z art. 107 krajowej ustawy o ochronie danych osobowych. Niniejsze opracowanie szczegółowo analizuje definicję, zakres stosowania oraz praktyczne znaczenie tych przepisów, wskazując na obowiązki podmiotów przetwarzających, rolę organu nadzorczego oraz procedury związane z inicjowaniem postępowań.
Art. 107 RODO a polska ustawa – kluczowe rozróżnienie pojęciowe
Wielu praktyków i publicystów posługuje się skrótem myślowym "art. 107 RODO" w odniesieniu do odpowiedzialności karnej za nielegalne przetwarzanie danych osobowych. W rzeczywistości musimy rozróżnić dwa powiązane ze sobą, lecz odrębne akty prawne. Ogólne Rozporządzenie o Ochronie Danych (RODO) w swoim artykule 107 nakłada na państwa członkowskie obowiązek lub daje im uprawnienie do określenia przepisów dotyczących innych sankcji za naruszenia rozporządzenia, w szczególności za naruszenia, które nie podlegają administracyjnym karom pieniężnym na mocy art. 83. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.
Polski ustawodawca skorzystał z tej unijnej delegacji, wprowadzając do krajowej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej jako UODO) przepis karny oznaczony również numerem 107. To właśnie art. 107 UODO stanowi bezpośrednią podstawę odpowiedzialności karnej w Polsce. Z tego względu w krajowej praktyce pojęcia te są często stosowane zamiennie, choć z formalnoprawnego punktu widzenia art. 107 RODO to norma kompetencyjna i kierunkowa, a art. 107 UODO to konkretny przepis sankcjonujący o charakterze prawnokarnym.
Analiza treści art. 107 RODO (unijnego)
Unijny prawodawca w art. 107 RODO wskazał, że państwa członkowskie określają przepisy dotyczące innych sankcji stosowanych w przypadku naruszeń niniejszego rozporządzenia i podejmują wszelkie niezbędne środki w celu zapewnienia ich wdrożenia. Przepis ten ma na celu uzupełnienie systemu kar administracyjnych o instrumenty, które państwa członkowskie uznają za najbardziej adekwatne w swoich lokalnych realiach społeczno-prawnych.
Dzięki temu rozwiązaniu możliwe jest ściganie osób fizycznych, takich jak pracownicy, członkowie zarządu czy administratorzy systemów informatycznych, podczas gdy administracyjne kary pieniężne nakładane na podstawie art. 83 RODO są kierowane bezpośrednio do administratorów danych lub podmiotów przetwarzających, czyli zazwyczaj spółek, instytucji publicznych czy innych organizacji. Art. 107 RODO stanowi zatem fundament dla personalizacji odpowiedzialności za najcięższe naruszenia prywatności.
Przestępstwo z art. 107 polskiej ustawy o ochronie danych osobowych
Przechodząc do polskiego prawa karnego, art. 107 ust. 1 UODO penalizuje czyn polegający na przetwarzaniu danych osobowych, choćby ich przetwarzanie nie było dopuszczalne albo do którego przetwarzania dany podmiot nie jest uprawniony. Za taki czyn grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jest to typ podstawowy przestępstwa, który chroni integralność danych i prawo do prywatności jednostki.
Z kolei art. 107 ust. 2 UODO wprowadza typ kwalifikowany tego przestępstwa. Jeżeli czyn dotyczy danych szczególnych kategorii, czyli tzw. danych wrażliwych, o których mowa w art. 9 RODO (np. danych ujawniających pochodzenie rasowe, poglądy polityczne, przekonania religijne, dane genetyczne, biometryczne czy dane o zdrowiu) lub danych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO), sprawca podlega surowszej odpowiedzialności. W tym przypadku zagrożenie karne wzrasta i sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
Kluczowe dla zaistnienia tego przestępstwa jest ustalenie, że sprawca działał bez uprawnienia lub w sposób niedopuszczalny. Niedopuszczalność oznacza brak jakiejkolwiek przesłanki legalizującej przetwarzanie danych wymienionej w art. 6 RODO dla danych zwykłych lub art. 9 RODO dla danych wrażliwych. Brak uprawnienia odnosi się natomiast do sytuacji, w której konkretna osoba fizyczna podejmuje czynności przetwarzania bez upoważnienia administratora danych lub poza zakresem takiego upoważnienia.
Rola Prezesa Urzędu Ochrony Danych Osobowych jako organu nadzorczego
Prezes Urzędu Ochrony Danych Osobowych (PUODO) jest centralnym organem właściwym w sprawach ochrony danych osobowych w Polsce. Choć PUODO nie jest organem ścigania i nie prowadzi postępowań karnych, jego rola w kontekście art. 107 RODO oraz art. 107 UODO jest fundamentalna. W toku prowadzonych postępowań administracyjnych lub kontroli, organ ten może powziąć uzasadnione podejrzenie, że doszło do popełnienia przestępstwa nielegalnego przetwarzania danych.
W takiej sytuacji, zgodnie z polską procedurą karną, PUODO ma prawny obowiązek niezwłocznego zawiadomienia prokuratury o możliwości popełnienia czynu zabronionego. Decyzje i ustalenia faktyczne dokonane przez organ nadzorczy w decyzjach administracyjnych często stanowią kluczowy materiał dowodowy dla prokuratora prowadzącego śledztwo lub dochodzenie. Współpraca na linii organ nadzorczy – prokuratura jest zatem kluczowym elementem egzekwowania przepisów karnych w obszarze ochrony danych.
Procedura karna: wniosek, zawiadomienie i termin
Jak wygląda wszczęcie procedury karnej w praktyce? Przestępstwo określone w art. 107 UODO jest przestępstwem publicznoskargowym, co oznacza, że jest ścigane z urzędu. Każda osoba, która poweźmie informację o nielegalnym przetwarzaniu jej danych lub danych innych osób, może złożyć zawiadomienie o możliwości popełnienia przestępstwa do prokuratury lub Policji. Nie jest tu wymagany żaden sformalizowany wniosek o ukaranie od osoby pokrzywdzonej, choć jej inicjatywa jest kluczowa dla uruchomienia machiny śledczej.
W praktyce poszkodowani często składają również skargę do PUODO o przeprowadzenie postępowania administracyjnego. Równoległe prowadzenie obu postępowań – administracyjnego przed PUODO i karnego przed sądem powszechnym – jest w pełni dopuszczalne i niezależne. Warto pamiętać, że w postępowaniu karnym obowiązują określone terminy:
- Przedawnienie karalności przestępstwa z art. 107 ust. 1 UODO (zagrożonego karą do 2 lat pozbawienia wolności) następuje po upływie 5 lat od momentu jego popełnienia.
- Jeśli w tym okresie wszczęto postępowanie przeciwko osobie, termin przedawnienia wydłuża się o kolejne 10 lat, co daje łącznie 15 lat na osądzenie sprawcy.
- Z perspektywy dowodowej kluczowe jest jak najszybsze zabezpieczenie logów systemowych, korespondencji oraz innych śladów cyfrowych dokumentujących nieuprawniony dostęp lub transfer danych, zanim zostaną one nadpisane lub usunięte.
Obowiązki administratorów danych w celu minimalizacji ryzyka
Aby uniknąć zarzutów opartych na art. 107 UODO, administratorzy danych osobowych muszą rzetelnie realizować swoje obowiązki wynikające z RODO. Do najważniejszych działań prewencyjnych należą:
- Wdrożenie procedur upoważnień: Jasne zasady nadawania, zmiany i cofania upoważnień do przetwarzania danych osobowych dla pracowników i współpracowników.
- Prowadzenie ewidencji: Dokładna ewidencja osób upoważnionych do przetwarzania danych, zawierająca zakres i czas trwania upoważnienia.
- Szkolenia personelu: Regularne szkolenie personelu w zakresie bezpiecznego obchodzenia się z danymi oraz uświadamianie im odpowiedzialności karnej za nadużycia.
- Monitoring i logowanie: Kontrola dostępu do baz danych, co pozwala na szybkie wykrycie sytuacji, w której pracownik przegląda dane bez uzasadnienia służbowego.
- Umowy powierzenia: Podpisywanie umów powierzenia przetwarzania danych (art. 28 RODO) z każdym podmiotem zewnętrznym, który uzyskuje dostęp do zasobów informacyjnych firmy.
Wpływ orzecznictwa sądowego na interpretację przepisów karnych
Sądy powszechne w Polsce coraz częściej mierzą się ze sprawami dotyczącymi nielegalnego przetwarzania danych osobowych. Analiza orzecznictwa wskazuje, że sądy bardzo rygorystycznie podchodzą do kwestii braku uprawnienia. Przykładowo, w wyrokach dotyczących kopiowania baz danych przez byłych pracowników, sądy konsekwentnie wskazują, że sam fakt posiadania aktywnego konta w systemie informatycznym pracodawcy nie oznacza automatycznie, że pracownik jest uprawniony do pobierania danych w celach prywatnych lub konkurencyjnych. Uprawnienie musi zawsze wynikać z konkretnego celu służbowego powiązanego z obowiązkami pracowniczymi.
Innym istotnym aspektem poruszanym w orzecznictwie jest kwestia społecznej szkodliwości czynu. Obrońcy oskarżonych często próbują argumentować, że jednorazowe pobranie danych lub ich nieuprawnione wykorzystanie charakteryzuje się znikomym stopniem społecznej szkodliwości. Sądy jednak rzadko przychylają się do tej argumentacji, zwłaszcza gdy sprawa dotyczy danych wrażliwych lub dużej liczby osób. Ochrona prywatności w dobie cyfryzacji jest traktowana jako dobro prawne o wysokiej wartości, a naruszenie procedur bezpieczeństwa jest uznawane za realne zagrożenie dla praw i wolności obywatelskich.
Najczęstsze błędy interpretacyjne i ryzyka w praktyce prawnej
W praktyce prawnej wokół art. 107 RODO narosło wiele mitów. Pierwszym z nich jest przekonanie, że odpowiedzialność karna grozi wyłącznie za spektakularne wycieki danych spowodowane atakami hakerskimi. W rzeczywistości większość postępowań dotyczy działań wewnętrznych, takich jak pracownicy kopiujący bazy klientów przed odejściem do konkurencji lub menedżerowie wykorzystujący dane marketingowe bez zgody osób, których dane dotyczą.
Kolejnym błędem jest założenie, że brak umyślności zwalnia z odpowiedzialności. Przestępstwo z art. 107 UODO można popełnić wyłącznie umyślnie, jednak zamiar może być zarówno bezpośredni (chcę przetwarzać dane bez uprawnienia i to robię), jak i ewentualny (godzę się na to, że nie mam uprawnienia, ale i tak podejmuję działania). Prawnicy często zapominają również, że odpowiedzialność karna na mocy art. 107 UODO jest niezależna od nałożenia administracyjnej kary finansowej na spółkę przez organ nadzorczy. Oznacza to, że za ten sam incydent spółka może zapłacić karę finansową, a konkretny menedżer lub pracownik może zostać skazany przez sąd karny.
Praktyczny przykład (Case Study)
Wyobraźmy sobie sytuację, w której pan Jan, zatrudniony jako doradca finansowy w firmie X, decyduje się na zmianę pracodawcy i przejście do konkurencyjnej firmy Y. Przed rozwiązaniem umowy o pracę, pan Jan loguje się do systemu CRM firmy X i pobiera na prywatny nośnik USB bazę zawierającą dane osobowe 500 kluczowych klientów (imię, nazwisko, numer telefonu, adres e-mail oraz informacje o ich zdolności kredytowej i historii transakcji). Następnie, już pracując w firmie Y, pan Jan wysyła do tych osób wiadomości z ofertą nowego pracodawcy.
Analiza prawna tego przypadku pod kątem art. 107 UODO wykazuje następujące elementy:
- Brak uprawnienia: Pobranie danych przez pana Jana na prywatny nośnik nastąpiło bez upoważnienia pracodawcy i poza celami służbowymi, co stanowi przetwarzanie danych (kopiowanie, utrwalanie) bez uprawnienia.
- Niedopuszczalność: Wykorzystanie tych danych w nowej firmie stanowi dalsze nielegalne przetwarzanie, ponieważ firma Y nie posiada żadnej podstawy prawnej (np. zgody klientów) do takiego kontaktu.
- Kwalifikacja czynu: Czyn ten kwalifikuje się pod art. 107 ust. 1 UODO, ponieważ dotyczy danych zwykłych (kontaktowych i finansowych). Gdyby baza zawierała np. dane o stanie zdrowia klientów, czyn podlegałby pod art. 107 ust. 2 UODO.
- Reakcja organów: Firma X jako administrator po wykryciu incydentu ma obowiązek zgłosić naruszenie do PUODO oraz złożyć zawiadomienie o możliwości popełnienia przestępstwa przez pana Jana do prokuratury.
- Konsekwencje: Panu Janowi grozi odpowiedzialność karna do 2 lat pozbawienia wolności, a także cywilne roszczenia odszkodowawcze ze strony byłego pracodawcy oraz samych klientów.
Podsumowanie i rekomendacje dla biznesu
Artykuł 107 RODO, implementowany w Polsce poprzez art. 107 UODO, to potężne narzędzie ochrony prywatności, które przenosi odpowiedzialność za naruszenia z poziomu bezosobowych struktur korporacyjnych na konkretne osoby fizyczne. Dla administratorów danych kluczowym wnioskiem jest konieczność budowania kultury bezpieczeństwa opartej na precyzyjnych upoważnieniach, monitoringu procesów oraz edukacji pracowników. Ryzyko karne nie powinno być lekceważone, gdyż wyrok skazujący za nielegalne przetwarzanie danych nie tylko wiąże się z dolegliwą karą, ale również bezpowrotnie niszczy reputację zawodową i uniemożliwia pełnienie wielu funkcji publicznych oraz biznesowych.