Rząd szykuje się w rewolucji chroniącej nasze dane osobowe. Choć uwolnimy się od natrętnych telefonów czy listów, to będziemy musieli uważać w pracy. Za niedopilnowanie danych osobowych będziemy mogli trafić do więzienia nawet na 3 lata. I nieważne, czy jesteśmy szeregowym pracownikiem czy wiceprezesem firmy.
Unijne rozporządzenie ochrony danych osobowych (RODO), nie zawiera przepisów karnych, dlatego autorzy pierwotnego projektu ustawy z marca 2016 r., która miała wprowadzić te przepisy w Polsce, początkowo także proponowali ich nie wprowadzać.
- Pod wpływem konsultacji, w kolejnym projekcie z września 2017 roku, zawarto już dwa typy przestępstw. Na tym jednak nie poprzestano. 8 lutego 2018 roku ukazał się kolejny projekt nowej ustawy o ochronie danych osobowych, który w zakresie regulacji karnych stanowi powrót do rozwiązań z czasów przed RODO - mówi Michał Jackowski, General Counsel w LexDigital.
Projekt ustawy przewiduje dwa lata więzienia, ograniczenie wolności albo grzywnę aż do miliona złotych dla osoby, która przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne, albo do których nie jest uprawniona.
Jeszcze surowsze kary grożą w przypadku czynów ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, biometrycznych, o stanie zdrowia, seksualności lub orientacji seksualnej. Sprawca takiego czynu może zostać skazany aż na trzy lata więzienia.
3 lata za ujawnienie preferencji seksualnych
W jaki sposób można popełnić takie przestępstwo? Chodzi na przykład o ujawnienie dokumentacji lekarskiej, wypływ danych biometrycznych, czy danych profilujących klientów sklepów internetowych pod kątem preferencji seksualnych.
Warto zwrócić uwagę, że przestępstwo to popełnia nie tylko ten, kto nie miał prawa przetwarzania danych, bo na przykład nie uzyskał wymaganej prawem zgody. Sprawcą może być również osoba, która ma podstawę prawną do przetwarzania danych, ale czyni to, gdy przetwarzanie nie jest dopuszczalne, bo narusza inne zasady przetwarzania danych.
Przestępstwem będzie więc zarówno zakup bazy nielegalnie nabytych rekordów, dalsze posługiwanie się nimi, ale również często spotykana w firmach sytuacja, gdy rekordy zostały pozyskane legalnie, ale zebrano je dla celów edukacyjnych albo sprzedażowym, a przedsiębiorca chce je wykorzystać w celu marketingowym albo udostępnia te dane dalej, na przykład wywiadowniom, czy ubezpieczycielom.
Kto może być sprawcą takiego przestępstwa? - Każda osoba, która w firmie odpowiada za przetwarzanie danych, a więc członek zarządu spółki, prokurent pełniący funkcje zarządcze, dyrektor działu odpowiedzialnego za przetwarzanie danych, a nawet pracownik, który dopuścił się naruszenia przepisów ustawy - dodaje Michał Jackowski.
Wystarczy podejrzenie, że baza powstała nielegalnie
Dość abstrakcyjne brzmienie tego przepisu pozwala przyjąć, że przestępstwo to może być popełnione zarówno w zamiarze bezpośrednim, czyli sprawca jest świadomy, że podejmowane przez niego czynności są niedopuszczalnym przetwarzaniem danych lub że jest on osobą nieuprawnioną do przetwarzania danych, jak i w zamiarze ewentualnym, czyli sprawca przewiduje możliwość, że jego działanie może być niedopuszczalnym przetwarzaniem danych lub że mogą mu nie przysługiwać określone uprawnienia do ich przetwarzania, ale się na to godzi.
Powracając do przykładu wskazanego powyżej, przestępstwa dopuści się zatem osoba, która z premedytacją nabywa nielegalne bazy. Ale przestępstwa może dopuścić się także menedżer, który będzie korzystać z danych osobowych, gdy nie jest pewien, ale podejrzewa, że baza mogła zostać zebrana nielegalnie, albo zgodnie z prawem, ale dla innych celów.
Trzecim przestępstwem zagrożonym do 2 lat więzienia będzie udaremnienie lub utrudnienie kontroli przestrzegania nowych przepisów. Karane będą takie czynności jak uniemożliwienie kontrolerom wstępu do firmy, utrudnienie przeszukania, ukrywanie dokumentów, czy też uniemożliwienie kontaktu z określonymi osobami.
Jest to również wyjście naprzeciw wcześniejszym zastrzeżeniom, że w sytuacji, gdy jest to wykroczenie, dużo bardziej opłacalnym będzie narażeniem się na 5 tys. złotych grzywny, niż narażenie spółki na wielomilionową karę. Po tej zmianie osoba utrudniająca kontrolę ryzykuje znacznie więcej.
Kara administracyjna do 20 mln euro
Przy tak skomplikowanym akcie prawnym, jakim jest RODO, zawierającym szereg nowych rozwiązań, tak niedookreślone sformułowania powodują, że ryzyko ukarania jest kolejnym, które należy mieć na uwadze, budując system ochrony danych osobowych.
Jeśli ustawa w tym brzmieniu wejdzie w życie, to nie tylko spółka, która narusza RODO, ryzykuje karą administracyjną do 20 milionów euro lub 4 proc. całkowitego rocznego światowego obrotu. Także osoby odpowiedzialne za wdrożenie systemu ochrony danych mogą zostać pociągnięte do osobistej odpowiedzialności.
Warto też zwrócić uwagę, że wymienione przestępstwa nowego projektu nie można popełnić nieumyślnie. Nie popełnia więc przestępstwa osoba, która odpowiada w organizacji za ochronę danych osobowych, a która naruszyła obiektywnie przepisy RODO, ale działając w zaufaniu do zatwierdzonych kodeksów postępowania, rekomendacji Prezesa Urzędu Ochrony Danych Osobowych, czy wytycznychinspektora ochrony danych zatrudnionego w firmie.
Z tego powodu, nawet gdy przepisy prawa nie wymagają, by w organizacji powołany został inspektor, gdy przetwarzamy dane, a nie jesteśmy pewni, czy naruszamy przepisy, skorzystać z oferty zatrudnienia w niej inspektora ochrony danych. Także pomoc inspektora w trakcie kontroli pozwoli na jej przeprowadzenie bez narażenia się na zarzuty.