Odpowiedzialność karna
Art. 107 RODO
1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
Art. 108 RODO
Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
W art. 84 RODO prawodawca europejski przyznał państwom członkowskim UE prawo do wprowadzenia sankcji za naruszenie przepisów RODO innych niż te wskazane bezpośrednio w treści rozporządzenia. Zgodnie z motywem 149 RODO: „Państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie niniejszego rozporządzenia”.
Polski ustawodawca skorzystał z ww. możliwości i wprowadził w ustawie o ochronie danych osobowych z 10 maja 2018 r. możliwość nałożenia – obok sankcji administracyjnych i odpowiedzialności cywilnej – także sankcje karne. Czyny zabronione opisane w art. 107 i art. 108 ustawy o ochronie danych osobowych są przestępstwami. Oznacza to nie tylko wyższe zagrożenie karą niż w przypadku odpowiedzialności za popełnienie wykroczenia, ale także wpisanie wyroku skazującego do Krajowego Rejestru Karnego.
Bezprawne przetwarzanie danych osobowych
Przestępstwo bezprawnego przetwarzania danych osobowych, opisane w art. 107 ustawy o ochronie danych osobowych, jest popełnione wówczas, gdy po stronie przetwarzającego dane osobowe brak jest podstawy prawnej do ich przetwarzania, ich przetwarzanie jest wprost zakazane albo gdy dane przetwarzane są przez osobę nieposiadającą do tego upoważnienia.
Kara, jaka jest przewidziana za to przestępstwo, uzależniona jest od rodzaju danych, jakie były bezprawnie przetwarzane. W razie przetwarzania tzw. danych zwykłej kategorii przepis przewiduje karę grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2. Natomiast jeżeli przetwarzane były dane szczególnej kategorii, maksymalny wymiar kary zwiększony jest do lat 3 pozbawienia wolności.
Źródło:
Rozporządzenie Parlamentu Europejskiego i Rady UE o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L nr 119, str. 1)