Artur Piechocki w Rzeczpospolitej: Ściganie sprawców niezgodnego z prawem przetwarzania danych osobowych

5) zlecania sporządzanie ekspertyz i opinii.

Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są wprawdzie obowiązani umożliwić inspektorowi przeprowadzenie kontroli, jednak pamiętajmy, że inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej. Inspektor powinien również dysponować imiennym upoważnieniem do przeprowadzenia kontroli, a po jej zakończeniu sporządzić protokół, do którego kontrolowany może wnieść zastrzeżenia i uwagi.

Inspektor, na podstawie ustaleń kontroli może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.

Niezależnie od uprawnień kontrolnych, GIODO może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru administratorów prowadzonego przez GIODO i zatrudnionego u administratora danych osobowych o sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, które zostanie później przekazane także GIODO. W tym zakresie przejawia się podwójna rola zarejestrowanego administratora bezpieczeństwa informacji, który z jednej strony musi dbać o przestrzeganie przepisów w ramach wewnętrznej organizacji przedsiębiorcy, a z drugiej strony musi raportować do GIODO nieprawidłowości wykryte u tegoż przedsiębiorcy.

GIODO posiada również dwa rodzaje uprawnień w przypadku naruszenia przepisów o ochronie danych osobowych, niezależnych od tego, czy naruszenie zostało stwierdzone w wyniku kontroli, czy informacji pozyskanej z innego źródła. Pierwsze uprawnienia o charakterze administracyjnoprawnym, zmierzają do przywrócenia stanu zgodnego z prawem przez, np. zastosowanie dodatkowych środków zabezpieczających dane osobowe, usunięcie danych osobowych. W celu wyegzekwowania swojej decyzji GIODO może nałożyć grzywny, przy czym każdorazowo nałożona grzywna nie może przekraczać 10 tys. zł, a w stosunku do osób prawnych – 50 tys. zł, natomiast grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć 50 tys. zł, a w stosunku do osób prawnych – 200 tys. zł. Uprawnienie takie wynika z art. 12 pkt 3 w zw. z art. 12 pkt 2 UODO, przy czym wystarczy zastosować się do decyzji GIODO, aby uniknąć odpowiedzialności.

Drugie uprawnienie dotyczy podejrzenia o popełnienie przestępstwa. W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w UODO, GIODO kieruje do organów ścigania przestępstw zawiadomienie o popełnieniu przestępstwa.

Działania GIODO w zakresie usunięcia niezgodnego z prawem przetwarzania danych osobowych wynikają bezpośrednio z ustawy i uprawnienia GIODO nie budą większych wątpliwości interpretacyjnych. Odmiennie przedstawia się sytuacja w przypadku wykrycia przez osobę trzecią niezgodnego z prawem przetwarzania danych osobowych. Osoba taka sama może bowiem narazić się na odpowiedzialność za przetwarzanie danych osobowych w sposób niezgodny z prawem w przypadku przypadkowego pozyskania zbioru danych. Dotyczy to szczególnie podmiotów, które zajmują się wykrywaniem i zwalczaniem zagrożeń cybernetycznych. Podczas swoich działań w Internecie napotykają one na fragmenty, a nawet całe bazy danych, mogące zawierać dane osobowe. Bazy takie udostępniane są niezgodnie z prawem na forach lub sieciach znanych określonemu kręgowi osób. Problem nie powstaje, gdy informacja o przetwarzaniu danych osobowych niezgodnym z prawem zostaje natychmiast przekazana administratorowi danych, podmiotowi danych, GIODO lub organom ścigania, a przypadkowo pozyskane dane są usuwane. W przypadku jednak, gdy administrator danych nie reaguje na zgłoszenie problemu, a poinformowanie wszystkich osób z rozległej bazy danych o niezgodnym z prawem przetwarzaniu ich danych osobowych jest praktycznie niemożliwe, to pozostaje przekazanie informacji o takim przetwarzaniu organom ścigania lub GIODO. Zwykle jednak taka baza danych może nie być dostępna dla GIODO czy organów ścigania albo jej lokalizacja uległa zmianie, a dowodów na nielegalne działanie brak, poza bazą danych, którą pozyskał podmiot podczas swoich działań operacyjnych w Internecie.

Samo przechowywanie dowodu w postaci bazy danych osobowych i jej dalsze udostępnienie administratorowi tych danych, GIODO, czy organom ścigania stanowi również przetwarzanie tych danych. Dopóki mamy do czynienia z danymi osobowymi innymi niż tzw. wrażliwe dane osobowe, np. informacja o stanie zdrowia, przekonaniach religijnych, to w zasadzie podstawę do ich choćby chwilowego przetwarzania stanowić może art. 23 ust. 3 Ustawy o ochronie danych osobowych („UODO”). W myśl tego przepisu można przetwarzać dane osobowe bez zgody osoby, której one dotyczą do czasu, gdy uzyskanie zgody będzie możliwe, o ile przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe. Ochrona samych danych osobowych, a nawet szerzej – dobra osobistego w postaci prywatności przemawiają w takiej sytuacji za dopuszczalnością przetwarzania danych osobowych w powyższym zakresie.

Wyłączeń takich nie zawiera art. 27 UODO, dotyczący danych osobowych wrażliwych, a niestety często takie dane dostępne są nielegalnie w Internecie. Na podstawie art. 49 UODO, gdy dochodzi do przetwarzania w zbiorze danych osobowych, których przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony ów podmiot, a przetwarzanie dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, podmiot ten podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. Dopóki podmiot, który przypadkowo pozyskał bazę danych i nie ma wiedzy na temat tego, co się w niej znajduje, bądź w sytuacji, gdy dane te znajdują się w postaci nieuporządkowanej niepozwalającej na przyjęcie, że mamy do czynienia ze zbiorem danych, to trudno mówić o odpowiedzialności za nielegalne przetwarzanie danych osobowych. Dopiero po zmianie tych okoliczności mamy do czynienia z ewentualną odpowiedzialnością karną. W przypadku, gdy świadomość o pozyskaniu zbioru danych osobowych istniała od samego początku, to niedopuszczalne będzie jakiekolwiek przechowywanie takiego zbioru. Zbiór taki najlepiej przekazać organom ścigania i usunąć ze swoich zasobów.

W sytuacjach wątpliwych można rozważać zastosowanie do wyłączenia odpowiedzialności karnej osoby, która przypadkowo pozyskała zbiór danych, na podstawie art. 116 Kodeksu karnego, przepisów ogólnych Kodeksu karnego. W szczególności na podstawie art. 30 Kodeksu karnego nie popełnia przestępstwa, kto dopuszcza się czynu zabronionego w usprawiedliwionej nieświadomości jego bezprawności. Według niektórych poglądów doktryny prawa karnego, błąd co do prawa wyłącza winę i odpowiedzialność karną, jeśli jest usprawiedliwiony; „dla dokonania takiej oceny należy posłużyć się kryterium miarodajnego obywatela, który – będąc w sytuacji sprawcy – także nie miałby świadomości bezprawności czynu; wówczas błąd taki można by usprawiedliwić” (tak: Ćwiąkalski, Błąd co do bezprawności). Sytuacje pozwalające na zastosowanie takiego wyłączenia będą mogły mieć zastosowanie wyjątkowo.

Inne wyłączenie odpowiedzialności dotyczy tzw. stanu wyższej konieczności. W myśl art.. 26 Kodeksu karnego nie popełnia przestępstwa, kto działa w celu uchylenia bezpośredniego niebezpieczeństwa grożącego jakiemukolwiek dobru chronionemu prawem, jeżeli niebezpieczeństwa nie można inaczej uniknąć, a dobro poświęcone przedstawia wartość niższą od dobra ratowanego.” W wielu sytuacjach łatwo będzie wykazać, że dane osobowe i prywatność została narażona na zagrożenie ujawnienia wobec braku reakcji ze strony administratora lub braku możliwości poinformowania podmiotów danych, stąd działanie podmiotu, który pozyskał nielegalnie udostępniane w Internecie dane było konieczne, aby chronić tę prywatność przed dalszymi naruszeniami.

Według informacji publikowanych przez GIODO na 462 zawiadomienia do prokuratury złożone przez GIODO tylko 58 zakończyło się wysłaniem aktów oskarżenia do sądu (dane sprzed dwóch / trzech lat). W 2013 roku GIODO wysłał tylko 16 zawiadomień do organów ścigania, zaś w 2014 zaledwie 10. Liczby te nie są znaczące między innymi ze względu na brak po stronie organów ścigania i GIODO wystarczającej informacji na temat wykrytych przez osoby trzecie naruszeń w Internecie. Świadomość możliwości wyłączenia odpowiedzialności karnej w przypadku zgłoszenia takich przypadków z pewnością może wpłynąć na zwiększenie liczby zgłoszeń i tym samym większą skuteczność działania organów ścigania.

Artur Piechocki jest radcą prawnym w kancelarii AP Law, specjalistą w prawie technologii informacyjnych i komunikacyjnych, ekspertem Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji