Warszawa, 18.04.2019 r. Komentarz eksperta ODO 24: Za naruszenie przepisów ochrony danych osobowych do więzienia? Autor: Piotr Liwszic, specjalista ds. ochrony danych, ODO 24 Czy zdajemy sobie sprawę z tego, że obowiązujące przepisy z zakresu ochrony danych osobowych przewidują odpowiedzialność karną za ich nielegalne przetwarzanie? W odbiorze społecznym istnieje słuszne przekonanie, że nieprzestrzeganie przepisów dotyczących ochrony danych osobowych skutkować będzie wielomilionowymi karami finansowymi. Jednak o odpowiedzialności karnej niewiele się mówi – a jak można wywnioskować z poniższej omawianego wyroku – jest ona bardzo poważna, gdyż grozi pozbawieniem wolności. Nielegalne wykorzystywanie danych Oskarżona A.S. jako kierownik Ośrodka Pomocy Społecznej miała dostęp do danych osobowych pracowników tego ośrodka. Wykorzystując taki dostęp do danych osobowych postanowiła wzbogacić się na prowizjach od zawieranych na nie pożyczek. W tym celu przekazywała dane osobowe pracowników do firmy udzielającej pożyczek. Drugim działaniem oskarżonej było podrabianie podpisów osób, których dane były przekazane do spółki udzielającej kredytów. Ważne dla omawianej sprawy jest to, że powyższe działania związane z nielegalnym przetwarzaniem danych osobowych miały miejsce przed obowiązywaniem przepisów RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Warto ten aspekt sprawy mocno podkreślić, ponieważ informacje prasowe wskazujące, że jest to pierwszy wyrok karny związany z RODO wprowadzają czytelników w błąd. Odpowiedzialność To właśnie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych przewiduje sankcje karne za ich przetwarzanie, gdy nie jest ono dopuszczalne albo dopuszcza się go osoba nieuprawniona. W pierwszej części przepisu przeanalizowane jest przetwarzanie danych osobowych w sytuacji, w której nie posiadamy ważnej podstawy prawnej, o której mowa jest w RODO np. umowy z osobą, której dane przetwarzamy, czy też jej zgody. Druga cześć przepisu wskazuje na przetwarzanie danych osobowych, co do których mamy ważną podstawę prawną, ale osoba, która przetwarza te dane osobowe nie została do takiego zachowania upoważniona, czy to przepisem prawa czy też nadanym przez administratora upoważnieniem. Odpowiedzialność za takie działanie podlega konkretnym karom takim jak grzywna, ograniczenie wolności albo pozbawienie wolności do lat dwóch lub trzech, gdy przedmiotem przetwarzania były dane szczególnej kategorii np. dotyczące zdrowia czy danych biometrycznych. W mojej ocenie bardzo niebezpiecznym dla wszystkich osób przetwarzających dane osobowe jest fakt, że sąd w omawianym orzeczeniu postawił znak równości pomiędzy starymi a nowymi przepisami. Ten znak równości między przepisem poprzednio obowiązującej ustawy, który penalizował wprost nielegalne udostępnienie danych osobowych, a obecnymi przepisami, które wskazują dwa opisane wcześniej nielegalne działania w mojej opinii nie jest uzasadniony. Kara W omawianej sprawie sąd podjął decyzję, że takie zachowanie wymaga konkretnej i mocnej reakcji ze strony wymiaru sprawiedliwości i skazał oskarżoną na karę prawie dwóch lat pozbawienia wolności. Kara w takiej wysokości na pewno przyczyni się do bardziej roztropnego postępowania z danymi osobowymi i podkreśli, że z ochroną danych osobowych nie ma żartów. ODO 24 sp. z o. o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Dzięki doświadczonemu zespołowi ekspertów z zakresu m.in. prawa, informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne. Kontakt dla mediów: Triple PR Aneta Gałka tel. 570 533 678 aneta.galka@triplepr.pl Martyna Danielewicz tel. 22 216 54 20; 722 100 505 martyna.danielewicz@triplepr.pl