Przepisy Ogólnego Rozporządzenia o Ochronie Danych, funkcjonujące w polskim porządku prawnym od 25 maja 2018 roku, przewidują odpowiedzialność administratorów danych osobowych na wielu płaszczyznach. Oprócz wyraźnie uregulowanej odpowiedzialności administracyjnej i cywilnej, niekiedy administrator lub inna osoba przetwarzająca dane osobowe może spotkać się także z odpowiedzialnością karną. Bezspornym jest bowiem, że przetwarzane dane osobowe, niezabezpieczone w sposób rzetelny i prawidłowy, w bardzo łatwy sposób mogą stać się przedmiotem działalności przestępczej.

Unijny ustawodawca w uchwalonej treści Rozporządzenia nie przewiduje jednak wprost konsekwencji prawnokarnych z tytułu niestosowania się do norm związanych z nieprawidłowym przetwarzaniem danych osobowych. Umożliwia jednak poszczególnym państwom członkowskim UE kwestię wdrożenia do swojego porządku prawnego tego rodzaju odpowiedzialności na gruncie odpowiednich regulacji krajowych. Zgodnie z treścią art. 84 RODO, państwa członkowskie zobowiązane są do przyjęcia wewnętrznych przepisów prawa określających inne niż zawarte w rozporządzeniu sankcje za naruszenia postanowień RODO. Natomiast idąc w ślad za motywem 149 Rozporządzenia, państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne za naruszenie niniejszego Rozporządzenia.

Dążąc do realizacji konstytucyjnych zasad, jakimi jest brak możliwości zobowiązania osoby do ujawnienia danych jej dotyczących inaczej niż ustawą, z jednoczesnym założeniem, iż mogą być to wyłącznie informacje niezbędne dla funkcjonowania demokratycznego państwa, ustawodawca krajowy uwzględnił w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: u.o.d.o.) konstrukcję art. 107 i art. 108.

Przepisy te wskazują na trzy rodzaje sytuacji, rodzących odpowiedzialność karną:

1. gdy przetwarzanie danych osobowych odbywa się pomimo jego niedopuszczalności lub gdy osoba przetwarzająca dane osobowe nie jest do tego uprawniona (art. 107 ust. 1 u.o.d.o.);
2. gdy przetwarzanie danych osobowych następuje wówczas, kiedy przetwarzanie jest niedopuszczalne albo gdy osoba przetwarzająca nie posiada uprawnień do ich przetwarzania, a przetwarzanie dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące stanu zdrowia, seksualności lub orientacji seksualnej (art. 107 ust. 2 u.o.d.o.);
3. gdy osoba przetwarzająca dane osobowe udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych (art. 108 u.o.d.o.).

Podkreślenia wymaga fakt, że obecnie penalizowane jest przetwarzanie danych osobowych, których to przetwarzanie nie jest prawnie dopuszczalne (a więc wbrew regulacji z art. 6 RODO), a także dokonywanie operacji na danych osobowych przez osobę nieposiadającą uprawnień. Za powyżej wskazane zachowanie sprawca podlega karze grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch. Dodatkowo, w sytuacji gdy powyższe dane dotyczą przetwarzania danych szczególnej kategorii, wbrew treści art. 9 ust. 1 RODO, a określonych w punkcie 2 powyżej, sprawca podlega karze grzywny, ograniczenia wolności albo pozbawienia wolności do lat trzech.

Odnosząc się do podmiotu analizowanego przestępstwa, polski prawodawca jednoznacznie przesądził, że czyn z art. 107 u.o.d.o. stanowi przykład przestępstwa powszechnego, a więc dla jego bytu wystarczającym jest wypełnienie znamion kryminalizowanego czynu przez dowolną osobę (każdego). Brak jest bowiem na gruncie tego przepisu dodatkowego sprecyzowania cech, jakie dla poniesienia odpowiedzialności karnej musi posiadać jego sprawca. Warunkiem poniesienia odpowiedzialności karnej na podstawie tego przepisu nie jest wystąpienie jakiegokolwiek skutku, zatem czyn z art. 107 ust. 1 i 2 u.o.d.o. stanowi przykład przestępstwa formalnego. Popełnić je można tylko poprzez działanie, które aby wyczerpywało znamiona analizowanych typów czynów zabronionych, musi przybrać formę przetwarzania danych osobowych w rozumieniu art. 4 pkt 2 RODO, tj. polegać na dokonywaniu na danych osobowych lub zestawach danych osobowych operacji lub zestawu operacji wykonywanych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub ich niszczenie. Przetwarzanie to musi być niedopuszczalne, tzn. odbywać się mimo niespełnienia co najmniej jednej, adekwatnej do rodzaju przetwarzanych danych przesłanki legalizującej albo być dokonywane przez osobę nieuprawnioną, czyli taką, która nie posiada stosownego umocowania. Źródłem uprawnienia do przetwarzania danych może być zarówno przepis prawa, umowa, jak i upoważnienie nadane przez właściwy podmiot – podkreślić należy, że takie uprawnienie do przetwarzania danych nie może być domniemane.

Przechodząc na grunt regulacji z art. 108 u.o.d.o. wskazać należy, że przepis ten kryminalizuje udaremnianie lub utrudnianie kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych. Sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Przestępstwo udaremniania lub utrudniania wykonania czynności kontrolnej przez inspektora umocowanego do kontroli przez Organ Nadzorczy dodane zostało jako występek o charakterze powszechnym (w analogiczny sposób, jak w hipotezie przepisu z art. 107 u.o.d.o.). Oznacza to, że może zostać popełnione przez każdego. Czynność sprawcza tego przestępstwa polegać może chociażby na niewpuszczeniu na teren osób zamierzających przeprowadzić kontrolę, na niszczeniu, zbyciu, uszkodzeniu dokumentów mających zostać objętych kontrolą, uniemożliwieniu dostępu do pomieszczeń, urządzeń, materiałów, itd.

W praktyce prokuratorzy i sądy niechętnie sięgają do powyższych regulacji, co z kolei przekłada się na niewielką liczbę prowadzonych postępowań. Warto wskazać, że odpowiedzialność karna na gruncie tych przepisów jest jednak wyjątkiem przewidzianym wyłącznie dla najcięższych naruszeń. Nie można jednak tracić z pola widzenia, że bezprawne przetwarzanie danych osobowych nierzadko występuje w kumulatywnym zbiegu przestępstw z innymi przepisami Kodeksu karnego i niekiedy służy realizacji innych czynów zabronionych (oszustwo, kradzież tożsamości, przestępstwa przeciwko ochronie informacji, itd.). Niezależnie od tego należy też zauważyć, że odpowiedzialność karna na gruncie tych przepisów stanowi bardziej uzupełnienie dla szeroko uregulowanej odpowiedzialności administracyjnej i cywilnej na gruncie RODO i nie jest główną osią gwarancji przestrzegania przepisów z zakresu ochrony danych osobowych. Przyjmuje się bowiem, że podstawowymi sankcjami za naruszenie przepisów o ochronie danych osobowych są nakładane na administratora lub podmiot przetwarzający obowiązki wynikające z prawa administracyjnego w postaci administracyjnych kar pieniężnych.