Blog o ochronie danych osobowych

Jakie są konsekwencje nieprzestrzegania przepisów o ochronie danych osobowych

Wielu z Was zastanawia się pewnie jak brzemienne w skutkach może okazać się nieprzestrzegania przepisów o ochronie danych osobowych. Otóż odpowiedzialność za przetwarzanie danych osobowych niezgodnie z przepisami podzielić można na odpowiedzialność administracyjną i karną.

Zacznijmy od tej pierwszej.
Zgodnie z art. 18 UODO w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, w szczególności poprzez:

  • usunięcie uchybień;

  • uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;

  • zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;

  • wstrzymanie przekazywania danych osobowych do państwa trzeciego;

  • zabezpieczenie danych lub przekazanie ich innym podmiotom;

  • usunięcie danych osobowych.

Jak wynika z powyższego GIODO nie ma uprawnień do karania osób czy podmiotów odpowiedzialnych za niezgodne z prawem przetwarzanie danych osobowych. Podmiotem właściwym w tej kwestii jest jedynie sąd.

GIODO natomiast może stosować środki egzekucyjne w celu przymuszenia podmiotu naruszającego przepisy ustawy do wykonania nałożonego nań w drodze decyzji obowiązku. Jednym z najdotkliwszych środków karnych będzie bez wątpienia grzywna. Wysokość jednorazowej grzywny nałożonej na osobę fizyczną nie może przekroczyć 10 000,- zł zaś na firmę 50 000,- zł. Grzywny nakładane mogą być wielokrotnie, ich suma jednak nie może przekroczyć 50 000,- zł w przypadku osoby fizycznej, a w przypadku firmy, bagatela, 200 000,- zł.


Podsumowując GIODO nie może nałożyć kary za niezgodne z przepisami przetwarzanie danych osobowych - w takim przypadku wyda "jedynie" decyzję nakazującą przywrócenie stanu zgodnego z prawem. Dopiero po wydaniu takiej decyzji, w celu przymuszenia do jej wykonania może zastosować środki egzekucyjne, w tym grzywnę.

Drugą formą odpowiedzialności za nieprzestrzeganie przepisów UODO jest odpowiedzialność karna.

Zgodnie z art. 19 tej ustawy, w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, GIODO kieruje do prokuratury zawiadomienie o popełnieniu przestępstwa. Osobie takiej grozi kara grzywny, ograniczenia wolności lub pozbawienia wolności nawet do 3 lat. Przykładowo, za przetwarzanie danych, których przetwarzanie jest niedopuszczalne lub nie będąc do przetwarzania uprawnionym, grozi kara pozbawieni wolności do lat 2, a jeśli przetwarzanie dotyczy niektórych danych wrażliwych nawet do lat 3.


Jak wynika z powyższego, konsekwencje nie stosowania się do regulacji ustawowych mogą być naprawdę poważne. Warto więc poświęcić trochę czasu i energii na dostosowanie przetwarzania danych osobowych do stanu zgodnego z prawem, do czego gorąco zachęcam.

Autor:  Piotr Betiuk - Prawnik, Koordynator Bezpieczeństwa Informacji PIN Consulting.


Powołanie administratora bezpieczeństwa Informacji

Instytucja powierzania przetwarzania danych.Przykłady z życia.