>Polecamy >

W § 43 ust. 2 BDSG, zostały wymienione przestępstwa, które są zagrożone wyższą karą pieniężną. Warto wymienić kilka z nich. Niezgodnie z przepisami postępuje ten kto umyślnie albo niedbale:
• Jako nieupoważniony pozyskuje albo przetwarza dane osobowe, które nie są ogólnie dostępne.
• Wyłudza przekazanie danych osobowych, które nie są ogólnie dostępne, przez podanie nieprawdziwych przesłanek.
• Wbrew § 16 ust. 4 zdanie 1, § 28 ust. 5 zdanie 1 BDSG, także w związku z § 29 ust. 4, § 39 ust. 1 zdanie 1 albo § 40 ust. 1, przekazane mu dane osobowe przetwarza do innych celów, w tym jeśli przekazuje dalej stronie trzeciej.
Federalna ustawa o ochronie danych osobowych posiada także przepis karny. Zgodnie z § 44 ust. 1 tej ustawy, kto popełni umyślnie określony w § 43 ust. 2 czyn z zamiarem osiągnięcia korzyści majątkowej albo z zamiarem wzbogacenia się albo wzbogacenia innej osoby, albo z zamiarem zaszkodzenia, będzie odpowiadał za czyn zagrożony karą pozbawienia wolności albo karą pieniężną. Zgodnie z § 44 ust. 2 czyn jest ścigany tylko na wniosek, do którego złożenia uprawniony jest podmiot danych osobowych, strona odpowiedzialna, federalny pełnomocnik ds. ochrony danych osobowych i bezpieczeństwa informacji oraz organ nadzorczy.
W uzasadnieniu projektu do polskiej ustawy o zmianie ustawy o ochronie danych osobowych podano brak instrumentów do egzekwowania przepisów o ochronie danych osobowych oraz sporadyczność stosowania sankcji karnych. Warto wskazać jak wygląda praktyka niemiecka.
Na sieć marketów LIDL nałożono w sumie karę 1.462 miliona euro. 35 spółek LIDL zostało skontrolowanych przez 12 organów nadzorczych ds. ochrony danych osobowych, którzy następnie nałożyli taką karę. Kontrola miała miejsce po doniesieniach mediów, o tym, że sieć marketów systematycznie kontroluje (podgląda) swoich pracowników, korzystając przy tym z usług firmy ochroniarskiej. Dla przykładu na LIDL z landu Nordhein - Westfalen nałożono 8 decyzji w sprawie grzywien. 5 z nich dotyczyło śledzenia życia prywatnego za pomocą niedozwolonych kamer i nieadekwatnego zbierania danych osobowych. 3 następne zapadły, ponieważ LIDL nie zamówił pełnomocnika ds. ochrony danych osobowych.
Urząd Nadzoru nałożył karę pieniężną również na dawnego sekretarza generalnego CDU- Svena Patke oraz wcześniejszego przewodniczącego partii – Rico Nelte. Ukarani monitorowali działalność 2 500 adresatów biuletynu CDU, w ten sposób, że bez ich wiedzy i zgody rejestrowali informacje, jakie wybierają oni za pomocą kliknięcia na automatyczny odnośnik. Na każdego z nich została nałożona kara pieniężna w wysokości ok. 3 800 Euro.
Ciekawy jest również przypadek serwisu internetowego meinprof.de, w którym studenci mogą ocenić swoich wykładowców i podzielić się z innymi cennymi informacjami na ich temat. Serwis otrzymał karę pieniężną za dwa wykroczenia związane z upublicznieniem danych osobowych. W serwisie MeinProf studenci mogli oceniać wykładowców w różnych kategoriach np. sprawiedliwość, wyrozumiałość, otwartość, przebojowość. Z informacji właściciela serwisu wynika, iż zostało zebranych ponad 300 000 tysięcy ocen. Miało to pomóc studentom w wyborze odpowiednich dla siebie wykładów, a profesorom miało dawać informację zwrotną o jakości prowadzonych wykładów. Inicjatorom serwisu zarzucono naruszenie dwóch przepisów ustawy o ochronie danych osobowych (BDSG). Chodzi o § 33 ust. 1 BDSG, zgodnie z którym zawodowo przetwarzający dane, który przekazuje je osobom trzecim, powinien wywiązać się z obowiązku informacyjnego względem podmiotu danych osobowych. Drugie to uchybienie treści § 29 ust. 2 zdanie 3, zgodnie z którym ten kto przetwarza w ramach przedsiębiorstwa – tutaj portal internetowy – dane które nie są ogólnie dostępne, w ten sposób że przekazuje je osobom trzecim, powinien zbadać powody oraz uzyskać wiarygodne uzasadnienie interesu w uzyskaniu danych osobowych. W uzasadnieniu podano, że portal nie sprawdzał i nie dokumentował czy osoba trzecia ma rzeczywisty interes w otrzymaniu informacji o danych zamieszczonych w portalu. Portal pozostawał otwarty dla każdego użytkownika. Pomimo tego, że za każde z naruszeń było możliwe nałożenie grzywny po 25 000 euro to ustalono ją na 1 000 euro. Jako powód podano, że wyliczenie kary musi mieć związek z wielkością przedsiębiorstwa, a meinprof zostało stworzone przez studentów i nie miało celu biznesowego.
Jak widać uprawnienia niemieckich organów nadzoru ds. ochrony danych osobowych są szersze niż GIODO. Praktyka niemiecka wskazuje, iż ilość kontroli przeprowadzonych przez uprawnione organy jest duża, a w ich następstwie nakładane są niejednokrotnie wysokie kary pieniężne. Taki sposób realizacji wymogów wynikających z art. 24 Dyrektywy 95/46/WE wydaje się odgrywać znaczną rolę prewencyjną. Możliwość otrzymania wysokiej kary pieniężnej powoduje, iż przedsiębiorcy dostrzegają istotę ochrony danych osobowych. Korzystają z pomocy fachowych doradców, szkolą pracowników, dbają o wypełnianie odpowiednich wymogów wynikających z ustawy o ochronie danych osobowych, w zakresie zabezpieczeń technicznych jak i organizacyjnych.
Projekt ustawy o zmianie ustawy nie idzie aż tak daleko, albowiem przewiduje jedynie możliwość nałożenia kary pieniężnej na podmiot nie wykonujący decyzji Generalnego Inspektora. Wydaje się, iż wprowadzenie kar pieniężnych do polskiej ustawy o ochronie danych osobowych jest tylko kwestią czasu. Będzie trzeba poczekać na efekty korzystania przez Generalnego Inspektora z nowych instrumentów. Wyniki zmian będą tym bardziej interesujące, gdyż o ile z badań Eurobarometru przeprowadzonego na zlecenie Dyrekcji Generalnej ds. Wolności, Bezpieczeństwa i Sprawiedliwości Komisji Europejskiej wynika, że Polska znajduje się na pierwszym miejscu wśród państw członkowskich Unii Europejskiej, deklarując najwyższą świadomość praw związanych z danymi osobowymi, to polska ustawa o ochronie danych osobowych z 1997 roku jest stosunkowo nowa (niemiecka federalna ustawa o ochronie danych osobowych pochodzi z 1978 r.). Interesującym jest również czy ograniczenie nakładania kar pieniężnych jedynie do sytuacji niewykonania decyzji GIODO będzie wystarczające i nie będzie prowadziło do zaniedbań oraz opieszałości ze strony administratorów danych. A może konieczne będą kolejne zmiany?

Justyna Garczyńska
Omni Modo

Źródła:
1. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz, WoltersKulwer, Kraków 2007.
2. Prezydencki projekt ustawy o zmianie ustawy o ochronie danych osobowych z dnia 21 grudnia 2007 r., Druk 488.
3. Opinia Polskiej Izby Handlu z dnia 7 stycznia 2008 r. na temat prezydenckiego projektu ustawy o zmianie ustawy o ochronie danych osobowych.
4. Opinia Polskiej Izby Ubezpieczeń z dnia 22 stycznia 2008 r. na temat prezydenckiego projektu ustawy o zmianie ustawy o ochronie danych osobowych.
5. Odpowiedź Generalnego Inspektora Ochrony Danych Osobowych z dnia 23 stycznia 2008 r. na prezydencki projekt ustawy o zmienie ustawy o ochronie danych osobowych.
6. Opinia Stowarzyszenia Marketingu Bezpośredniego z dnia 18 stycznia 2008 r. na temat prezydenckiego projektu ustawy o zmianie ustawy o ochronie danych osobowych.
7. http://www.datenschutz-praxis.de/fachwissen/fachnews/hohes-busgeld-fur-lidl
8. http://www.demal-gmbh.de/datenschutz/nachrichten/nachricht225.htm
9. http://www.heise.de/newsticker/Datenschuetzer-verhaengt-Bussgeld-gegen-Bewertungsportal-meinprof-de--/meldung/107123