Konsekwencje naruszenia ustawy o ochronie danych osobowych
W praktyce zdecydowana większość przedsiębiorców w związku z prowadzona działalnością gospodarczą przetwarza dane osobowe. Jednak mało kto zdaje sobie sprawę z konsekwencji przetwarzania danych niezgodnie z prawem, np. poprzez przetwarzanie danych bez posiadana zgody na to działanie.
Jak wynika z treści art. 18 ustawy z dnia 29 sierpnia 1997 r., o ochronie danych osobowych (Dz. U. 2002 r., nr 101, poz. 926 wraz z późn. zm.) w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nie udostępnienie danych osobowych,
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.
Zwrócić należy uwagę, że decyzje Generalnego Inspektora Ochrony Danych Osobowych, o których mowa powyżej, w odniesieniu do zbiorów danych osobowych, nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.
Ponadto w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor Danych Osobowych kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie (art. 19 ustawy).
Niezależnie od powyższego, w przypadku niezastosowania się do decyzji Generalnego Inspektora Danych Osobowych, na podmiot do którego skierowana została decyzja, nałożona może zostać grzywna w celu przymuszenia. Zgodnie z treścią art. 119 ustawy z dnia 17 czerwca 1966 p postępowaniu egzekucyjnym w administracji (Dz. U. 2012 r, nr 1115 wraz z późn. zm.) grzywnę w celu przymuszenia nakłada się, gdy egzekucja dotyczy spełnienia przez zobowiązanego obowiązku znoszenia lub zaniechania albo obowiązku wykonania czynności, a w szczególności czynności, której z powodu jej charakteru nie może spełnić inna osoba za zobowiązanego. Grzywnę nakłada się również, jeżeli nie jest celowe zastosowanie innego środka egzekucji obowiązków o charakterze niepieniężnym.
Grzywna w celu przymuszenia może być nakładana zarówno na osoby fizyczne, jak i osoby prawne, a także na jednostki organizacyjne nie posiadające osobowości prawnej. Grzywna w celu przymuszenia może być nakładana kilkakrotnie w tej samej lub wyższej kwocie. Każdorazowo nałożona grzywna nie może przekraczać kwoty 10.000 zł, a w stosunku do osób prawnych i jednostek organizacyjnych nie posiadających osobowości prawnej kwoty 50.000 zł. Grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50.000 zł, a w stosunku do osób prawnych i jednostek organizacyjnych nie posiadających osobowości prawnej kwoty 200.000 zł.
Zgodnie z treścią art. 49 ust. ustawy o ochronie danych osobowych kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli działanie, o którym mowa w treści poprzedniego zdania, dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Zgodnie z treścią art. 33 kodeksu karnego grzywnę wymierza się w stawkach dziennych, określając liczbę stawek oraz wysokość jednej stawki; jeżeli ustawa nie stanowi inaczej, najniższa liczba stawek wynosi 10, zaś najwyższa 540. Ustalając stawkę dzienną, sąd bierze pod uwagę dochody sprawcy, jego warunki osobiste, rodzinne, stosunki majątkowe i możliwości zarobkowe; stawka dzienna nie może być niższa od 10 złotych, ani też przekraczać 2.000 złotych.
Stosowanie natomiast do treści art. 34 kodeksu karnego jeżeli ustawa nie stanowi inaczej, kara ograniczenia wolności trwa najkrócej miesiąc, najdłużej 12 miesięcy; wymierza się ją w miesiącach. W czasie odbywania kary ograniczenia wolności skazany:
1) nie może bez zgody sądu zmieniać miejsca stałego pobytu,
2) jest obowiązany do wykonywania nieodpłatnej, kontrolowanej pracy na cele społeczne,
3) ma obowiązek udzielania wyjaśnień dotyczących przebiegu odbywania kary.
Natomiast kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, zgodnie z treścią art. 51 ustawy o ochronie danych osobowych podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Jeżeli administrator danych osobowych administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, stosownie do treści art. 52 ustawy o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Jeżeli podmiot, który przetwarza dane osobowe, tworzy zbiory danych, których pomimo obowiązku nie zgłasza do rejestracji zbioru danych, zgodnie z treścią art. 53 ustawy o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Przypadki, w których administrator zwolniony jest z obowiązku zgłaszania danych osobowych, enumeratywnie wymienione zostały w treści art. 43 ustawy o ochronie danych osobowych. Zgodnie z treścią art. 43 ustawy o ochronie danych osobowych Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
- zawierających informacje niejawne, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
- przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
- przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
- przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
- przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,
- dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
- przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
- dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
- tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
- dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
- przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
- powszechnie dostępnych,
- przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
- przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Zgodnie z treścią art. 33 ustawy o ochronie danych osobowych na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji. Jeżeli administrator danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, stosownie do treści art. 53 ustawy o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Ponadto zgodnie z treścią art. 54a ustawy o ochronie danych osobowych każda osoba, która inspektorowi GIODO udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Należy również pamiętać, że w dniu 14 grudnia 2012 roku zawarte zostało porozumienie pomiędzy Państwową Inspekcją Pracy a Biurem Generalnego Inspektora Ochrony Danych Osobowych w treści którego określone zostały zasady współdziałania tych organów. Zgodnie z treścią porozumienia Państwowa Inspekcja Pracy (PIP) będzie zawiadamiać Generalnego Inspektora Ochrony Danych Osobowych (GIODO) o stwierdzonych w czasie prowadzonych przez PIP kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, GIODO informować będzie PIP o stwierdzonych w czasie prowadzonych przez GIODO kontroli, naruszeniach przepisów prawa pracy. W przypadku dokonania zawiadomienia przez PIP, GIODO po przeprowadzeniu postępowania poinformuje PIP o wynikach przedmiotowego postępowania.