Kara pozbawienia wolności za naruszenie RODO

Kara pozbawienia wolności za naruszenie RODO.


Karą w wymiarze rok i osiem miesięcy pozbawienia wolności została ukarana kierowniczka ośrodka pomocy społecznej za wykorzystywanie nielegalnie pozyskanych danych osobowych w celu złożenia wniosków o pożyczkę.

Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Przetwarzanie danych osobowych w sytuacji, gdy przetwarzanie danych nie jest dopuszczalne, to działanie sprawcy z naruszeniem  przepisów RODO. Przypisanie sprawcy odpowiedzialności wymaga więc ustalenia, czy przetwarzając dane osobowe, sprawca nie mógł powołać się choćby na jedną z przesłanek legalizujących przetwarzanie danych osobowych wskazanych w ww. przepisach. (Litwiński 2018, wyd. 1/Barta)

Ponadto podmiotem odpowiedzialnym jest każda osoba fizyczna, która nie jest uprawniona do ich przetwarzania. Z sytuacją, gdy osoba nie jest uprawniona do przetwarzania danych osobowych, możemy mieć do czynienia, gdy pracownik nie otrzymał od administratora polecenia (upoważnienia), z którego by wynikało zezwolenie do przetwarzania danych, zwłaszcza gdy pracownik samowolnie przegląda dane i bezprawnie je przetwarza (np. wysyłając oferty pomimo braku takiego polecenia od administratora i braku podstawy prawnej zezwalającej na takie przetwarzanie).


Więcej w Gazeta Prawna, wydanie z dnia: poniedziałek, 15. kwiecień 2019.

RODO – pierwsza kara już jest

Z ostaniej chwili. Jest pierwsza kara za naruszenie RODO i to niebagatelna, bo milion zł. Co ciekawsze dla firmy, która przetwarza ogólnodostępne w internecie dane osób prowadzących działalność podane przez nich w CEiDG KRS, GUS, CEPiK .

Naruszenie dotyczy uchybienia w zakresie wykonania obowiązków informacyjnych. Prezes UODO nakazała firmie wysyłkę listów do osób prowadzących działalność gospodarczą, które nie zostały poinformowane o fakcie że ich dane są przetwarzane. Nie wystarczy zatem w ocenie UODO wykonanie w tym przypadku obowiązku informacyjnego za pośrednictwem serwisu internetowego.


We wtorek Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych ogłosi informację o nałożeniu tej pierwszej kary.

16Liczba odbiorców2Aktywność

Ewentualne roszczenia po zakończeniu rekrutacji – uwagi do Poradnika PUODO

Nie milkną komentarze do wydanego ostatnio przez PUODO Poradnika dla pracodawców. Jedną z kwestii budzącą wątpliwości komentujących, była zawarta w Poradniku opinia o braku możliwości przetwarzania przez pracodawców danych kandydatów do pracy, po zakończeniu rekrutacji, w celu zabezpieczenia się przed ich ewentualnymi roszczeniami.

„Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą”

W uzasadnieniu dla tak postawionej tezy czytamy:

„W przeciwnym razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe, jeżeli ta osoba nie zdecyduje się na wytoczenia powództwa przeciwko pracodawcy. W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy kandydatem do pracy, a pracodawcą. Brak jest dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia roszczenia. Działanie pracodawcy stanowiłoby przetwarzanie danych kandydata „na wszelki wypadek”.  Czytaj więcej

GIODO przestrzega…

GIODO przestrzega, by z rozwagą korzystać z ofert podmiotów oferujących pomoc w przygotowaniu się do RODO.

“Generalny Inspektor Ochrony Danych Osobowych (GIODO) przestrzega, by decydując się na usługi lub pomoc podmiotu zewnętrznego oraz dokonując wyboru oferty, zachować dużą ostrożność. Dotyczy to zwłaszcza przypadków, w których:

  • proponuje się kupno certyfikatów, zwłaszcza tych, które mają gwarantować, że legitymujący się nimi podmiot postępuje zgodnie z RODO, co uchroni go np. przed kontrolą ze strony urzędu,
  • żąda się przedstawienia określonych informacji lub dokumentów pod groźbą „oddania sprawy do GIODO, sądu i prokuratury”, a jednocześnie oferuje kupno produktów lub usług.

Czytaj więcej

Nie ma ucieczki przed GIODO…

Okazuje się, że są firmy, które chcą zapłacić za to, aby pomóc im uciec przed GIODO przynajmniej mnie zdarzyło się otrzymać takie dość niecodzienne zapytanie. Zasadniczo otrzymuję zlecenia, aby pomóc firmie osiągnąć stan zgodności z GIODO, ale żeby uciec to już rzadziej.

Z reguły ucieczka przed GIODO to takie “siedzenie cicho” i udawanie, że prawo ochrony danych osobowych nas nie dotyczy, kiedyś się tym zajmiemy, ale aktualnie są ważniejsze rzeczy do załatwienia. Podmioty, które podejmują zorganizowaną ucieczkę przed GIODO jest zdecydowana mniejszość, ale zdarzają się i takie.

Przykład z ostatniego szkolenia dla branży kosmetycznej jest taki, że więcej chętnych chciało szkolić się z pielęgnacji paznokci niż z aspektów prawnych uświadomionej zgody lub ochrony danych osobowych i tajemnicy przedsiębiorstwa.

Zapominamy, że dobrze wykonana usługa to nie tylko dosłownie rozumiany zabieg fryzjerski, kosmetyczny czy inny, ale to także dbanie o informacje o klientach, informacjach często wrażliwych. Pamiętajmy, ze prawo do prywatności jest prawem podstawowym jednostki. Przetwarzanie danych osobowych o osobach fizycznych powinno być zgodne z przepisami o ochronie danych osobowych.

Jednakże sfera ochrony danych osobowych w dalszym ciągu pozostaje  słabo zabezpieczona i stąd być może zlecenie dla mnie, aby w ogóle uwolnić się od GIODO np. poprzez założenie firmy w kraju, który nie posiada odpowiednich z zakresu ochrony danych osobowych regulacji prawnych a jednocześnie będzie poza jurysdykcją przepisów krajowych oraz unijnych.

Pomysł nie jest, aż tak naiwny bowiem w świetle aktualnych przepisów dominującą w prawie ochrony danych osobowych w UE jest zasada podlegania przepisom Państwa właściwego dla siedziby administratora danych osobowych. Jest to rozwiązanie od pewnego czasu bardzo krytykowane, gdyż poza jurysdykcją GIODO pozostają na przykład takie organizacje jak Google czy Facebook, których przetwarzanie danych osobowych nie zawsze podoba się europejskim organom ochrony danych osobowych.

Najnowszej Rozporządzenie unijne w sprawie ochrony danych osobowych odchodzi od zasady podlegania prawu właściwemu dla państwa siedziby administratora danych. Istotnym novum będzie objęcie nową regulacją również tych administratorów danych osobowych, te firmy, które mając siedzibę poza UE świadczą usługi dla jej obywateli.

Z tego też powodu reasumując można powiedzieć, iż nie ma ucieczki przed GIODO (jeśli firma świadczy usługi w UE lub dla jej obywateli) i zamiast tracić czas i pieniądze na poszukiwanie wątpliwych rozwiązań w świetle nadchodzących zmian, skupić się raczej należy na dostosowaniu swojej działalności do stanu zgodności z obowiązującym prawem.

Kazus Policji cd.

Celem ostatniego artykułu na blogu,  na temat udostępniania danych osobowych było wskazanie na pewne sytuacje, gdy różne podmioty są zobowiązane do udostępnienia danych osobowych, jeśli jest ku temu odpowiednia podstawa prawna.

Podstawą dla udostępniania danych osobowych Policji są przepisy ustawy o Policji i przepisy wykonawcze. Oznacza to, że Policja uprawniona jest do pozyskiwania i przetwarzania danych w związku z prowadzonymi czynnościami a podmioty, do których zwraca się o udostępnienie takich danych powinny dane udostępnić.

Na tle jednak tego artykułu wywiązała się na blogu dyskusja o przetwarzaniu  danych osobowych przez Policję przy wykonywaniu przez nią czynności operacyjno-rozpoznawczych, dochodzeniowo- -śledczych i administracyjno-porządkowych. W celu realizacji tych zadań Policja może przetwarzać dane osobowe w rozumieniu ustawy o ochronie danych osobowych również bez wiedzy i zgody osoby, której dane dotyczą.

Czy to oznacza, że przepisy o ochronie danych osobowych Policji nie dotyczą.

Przepisy ustawy o Policji dają jej umocowanie do przetwarzania danych osobowych ale także nakładają na funkcjonariuszy Policji obowiązek respektowania godności ludzkiej i ochrony praw człowieka. Przepis ten stanowi rozwinięcie ogólnej normy konstytucyjnej, zgodnie z którą godność człowieka stanowiąca źródło jego wolności i praw jest nienaruszalna, a jej poszanowanie i ochrona jest obowiązkiem władz publicznych.

Okazuje się jednak, że przetwarzanie danych podczas wykonywania czynności przez policję nie zawsze zgodne jest z zasadami konstytucji czy nakazami prawa. Dotyczy to na przykład sytuacji, gdy osoby składające zawiadomienia o popełnieniu przestępstwa w tym samym czasie, w tym samym miejscu znajdują się w warunkach, które nie zapewniają poszanowania wymienionych wyżej praw.

Przykładem są sytuacje, w których ramię w ramię jedna osoba wyjaśnia okoliczności kradzieży samochodu a inna szczegóły przemocy w rodzinie nie mogą mieć miejsca. Innym przykładem jest sytuacja, gdy funkcjonariusze Policji podczas wykonywania czynności służbowych w celu ustalenia tożsamości osoby legitymowanej głośno wymieniaj dane osobowe osoby legitymowanej, co powoduje, i  osoby postronne przebywające w pobliżu mają możliwość zapoznania si z tymi danymi.

 Prawo do przetwarzania danych osobowych przyznane podmiotom przez ustawy nie oznacza, że w zakresie respektowania prawa osób, których dane dotyczą istnieją dla tych podmiotów wyłączenia.

Wszystkie podmioty uprawnione do przetwarzania danych osobowych mają obowiązek przetwarzania tych danych z poszanowaniem praw człowieka tj. godności ludzkiej oraz prawa do prywatności oraz chronić dane o osobie przed nieuprawnionym dostępem osób nieupoważnionych.

Na koniec warto wspomnieć, że GIODO oficjalnie występował do Komendanta Głównego Policji sygnalizując mu  naruszenia w wykonywaniu czynności przez funkcjonariuszy Policji w zakresie wyżej opisanym.