>Polecamy >

W polskiej ustawie z dnia 29 sierpnia 2007 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002, Nr 101, poz. 926 z późn. zm.) została wprowadzona regulacja odpowiedzialności karnej, co świadczy o docenieniu przez ustawodawcę wartości i dóbr, których poszanowaniu ma ona służyć. Do postanowień ustawy stosuje się postanowienia części ogólnej kodeksu karnego (art. 116 k. k.). O wadze dóbr chronionych ustawą świadczy surowość przepisów karnych, w tym nadanie czynom charakteru przestępstw ściganych z urzędu. Osoba skazana na podstawie ustawy jest odnotowywana w rejestrze karnym. Prawomocne skazanie ułatwi również poszkodowanemu zgodnie z art. 11 kodeksu postępowania cywilnego uzyskanie odszkodowania oraz innych świadczeń za naruszenie jego danych osobowych.
Wszystkie przestępstwa przewidziane ustawą o ochronie danych osobowych stanowią występki. Występki określone w art. 49, 50, 53 i 54 ustawy można popełnić jedynie umyślnie, zaś występki z art. 51 i 52 ustawy także nieumyślnie.
Jeśli chodzi o potencjalnego sprawcę to przestępstwo z art. 49 ustawy ma charakter powszechny - stanowi czyn, którego dopuścić się może każda osoba, a pozostałe przestępstwa przewidziane ustawą, tylko niektóre kategorie sprawców. Czyny z art. 50, 52 i 54 ustawy mogą zostać popełnione tylko przez „administrującego zbiorem danych”, czyn z art. 51 przez administrującego zbiorem danych, bądź obowiązanego do ochrony danych osobowych, zaś czyn z art. 53 przez osobę zobowiązaną do rejestracji (administratora danych).
Pomimo zamieszczenia regulacji odpowiedzialności karnej dostrzega się konieczność zmian, polegających na wyposażeniu Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO) w instrument walki z administratorami danych oraz innymi podmiotami przetwarzającymi dane osobowe łamiącymi przepisy prawa. Prezydent RP przedstawił 21 grudnia 2007 r. Sejmowi RP projekt ustawy o zmianie ustawy o ochronie danych osobowych, który przewiduje m. in. wprowadzenie rozdziału 7a „kary pieniężne”. Jako uzasadnienie podaje, iż podmioty przetwarzające dane osobowe niejednokrotnie nie stosują się do formułowanych w decyzjach administracyjnych Generalnego Inspektora nakazów i zakazów, bądź wręcz uniemożliwiają podejmowanie działań, do których upoważnia go ustawa. Podniesiono również, iż za taki stan rzeczy niejednokrotnie odpowiadają organa ścigania, którym zdarza się traktować naruszenia z ustawy o ochronie danych osobowych powierzchownie i pobłażliwe. Taką ocenę potwierdzają statystyki – na 462 dokonanych przez GIODO zawiadomień skierowanych do organów ścigania, jedynie w 58 przypadkach zostały skierowane akty oskarżenia (stan na dzień 31 grudnia 2006 r.). Chcąc stworzyć efektywną ochronę danych osobowych i zapewnić GIODO możliwość egzekwowania obowiązków wynikających z ustawy o ochronie danych osobowych konieczne jest rozszerzenie jego uprawnień i wyposażenie go w instrument polegający na możliwości nakładania kar pieniężnych, których wysokość przewidziano w granicach od 1 000 do 100 000 euro. Decyzja GIODO, której niewykonanie będzie stanowić przesłankę nałożenia kary pieniężnej ma mieć charakter bezwzględnie obowiązujący. Ma to zapobiec ewentualności podwójnego badania przez sąd tożsamej sprawy tj. decyzji nakazującej oraz decyzji o nałożeniu kary pieniężnej za niewykonywanie decyzji nakazującej. Decyzja, choć ostateczna i podlegająca wykonaniu będzie mogła zostać wzruszona w wyniku kontroli sądowej (podobne rozwiązania zostały przewidziane: w art. 204 ust. 8 i 9 ustawy z dnia 28 sierpnia 1997 r. o organizacji i funkcjonowaniu funduszy emerytalnych, czy w art. 165 ust. 1 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi).
Projekt przewiduje również karę pieniężną w wysokości do 300 % miesięcznego wynagrodzenia nakładaną na kierownika albo osobę działającą z jego upoważnienia, w przypadku, gdy uniemożliwiają lub utrudniają przeprowadzenie czynności kontrolnych. W obecnym stanie prawnym Generalny Inspektor nie ma skutecznych instrumentów prawnych, w tego typu sytuacjach, a spotyka się z nimi bardzo często.
W projekcie zostały określone również terminy uiszczania kar pieniężnych oraz sposób ich ścigania.
Poza tym projekt przewiduje dwa nowe przestępstwa tj. przetwarzanie danych wrażliwych przed zarejestrowaniem zbioru danych, czyli naruszenie art. 46 ust. 2 ustawy oraz niedopełnienie obowiązku poinformowania Generalnego Inspektora o zmianach informacji wskazanych w zgłoszeniu zbioru do rejestracji w terminie 30 dni od dnia dokonania zmian, czyli naruszenie art. 41 ust. 2 ustawy
Prezydencki projekt ustawy o zmianie ustawy o ochronie danych osobowych został poddany szerokiej dyskusji. Potrzeba wprowadzania kar pieniężnych jest w zasadzie aprobowana. Polska Izba Handlu negatywnej ocenie poddała dolną granicę kary, która jest zbyt wysoka dla małych przedsiębiorstw. Polska Izba Ubezpieczeń skrytykowała pojawienie się tzw. „podwójnego karania” administratora danych (kara administracyjna i kara pozbawienia wolności), oraz niedookreślenie sytuacji stosowania tych kar, tzn. czy będą one stosowane zamiennie. Do projektu ustosunkował się także Generalny Inspektor – Michał Serzycki, przyznając, że przyjęcie przez Parlament tego projektu ułatwi organowi realizację jego zadań. Dodał, również że obecnie sankcje stosowane są rzadko i mają niską skuteczność.
Należy wskazać jakie rozwiązania zostały przewidziane przez inne państwa europejskie. Możliwość nakładania kar pieniężnych przez organ ds. ochrony danych osobowych została przewidziana w: Austrii, Czechach, Niemczech, Słowacji, Estonii, Słowenii, Cyprze, Łotwie oraz we Francji. Dla przykładu w Niemczech kara wynosi ok. 250 000 Euro, w Hiszpanii ok. 501 012 Euro.
Ograniczmy się jednak do praktyki niemieckiej, która przewiduje za czyny określone w § 43 ust. 1 federalnej ustawy o ochronie danych osobowych (dalej: BDSG) karę grzywny do wysokości 220 000 Euro, a za czyny określone w § 43 ust. 2 BDSG karę grzywny do wysokości 250 000 Euro.
Warto wymienić kilka przykładów czynów karalnych z § 43 ust. 1 BDSG. Niezgodnie z przepisami postępuje ten kto umyślnie albo niedbale:
• Wbrew § 4d ust. 1 w związku z § 4e zdanie 2 BDSG, nie wywiązuje się z obowiązku rejestracyjnego, robi to nieprawidłowo, niekompletnie lub po terminie.
• Wbrew § 4f ust. 1 zdanie 1 albo 2 BDSG, także w związku ze zdaniem 3 i 6 BDSG, nie ustanawia (zamawia) pełnomocnika ds. ochrony danych osobowych, czyni to w sposób nie przewidziany prawem albo po terminie.
• Wbrew § 28 ust. 4 zdanie 2 BDSG nie wywiązuje się prawidłowo z obowiązku informacyjnego względem podmiotu danych osobowych, bądź nie wywiązuje się w odpowiednim czasie, lub nie dba o to aby osoba ta mogła uzyskać odpowiednie informacje. Chodzi tutaj o przetwarzanie danych osobowych w celach reklamy bądź badania rynku i opinii publicznej. W tych przypadkach konieczne jest poinformowanie o możliwości sprzeciwu.
• Wbrew § 28 ust. 5 zdanie 2 BDSG przekazuje albo używa dane osobowe. Jest to naruszenie przepisu dotyczącego przetwarzania danych osobowych przez podmiot, któremu przekazano dane. Podmiot ten może je przetwarzać tylko w celu, dla którego zostały one przekazane. Wyjątek dotyczy instytucji publicznych, które mogą w wyjątkowych prawem przewidzianych sytuacjach przetwarzać przekazane im dane osobowe także w innym celu.
• Wbrew § 33 ust. 1 BDSG nie zawiadamia podmiotu danych osobowych, nie zawiadamia prawidłowo lub nie zawiadamia w sposób kompletny. Jest to odzwierciedlenie obowiązku informacyjnego, który występuje także na gruncie polskiej ustawy o ochronie danych osobowych. Po pierwszym zgromadzeniu danych osobowych należących do określonej osoby należy ją poinformować o pozyskaniu danych, ich rodzaju, celu pozyskania, przetwarzania, jak również określić podmiot odpowiedzialny – wykorzystujący te dane. To samo dotyczy przypadku gdy dane zostaną zgromadzone przez podmiot zawodowo zajmujący się ich dalszym przekazywaniem. Wówczas należy podmiot danych osobowych poinformować o pierwszym przekazaniu i kategorii przekazanych danych.
• Wbrew § 38 ust. 3 zdanie 1 albo ust. 4 zdanie 1 BDSG nie udziela informacji, nie udziela informacji prawidłowo albo środki jakimi to czyni nie są wystarczające. W przepisie tym mowa o kontroli dokonywanej przez organ nadzoru i wymogach leżących na kontrolowanym.
• Postępuje sprzecznie z wykonalnym zarządzeniem wydanym zgodnie z § 38 ust. 5 Zdanie 1 BDSG. Naruszenie tego przepisu polega na nie zastosowaniu się do nakazu organu nadzoru, dotyczącego wprowadzenia technicznych i organizacyjnych środków prowadzących do spełnienia wymogów z ustawy o ochronie danych osobowych.

Justyna Garczyńska