Kradzież danych z portali internetowych - zakres odpowiedzialności administratora oraz kary za nieuprawnione przetwarzanie danych

Jakie skutki mają kradzieże danych z portali internetowych? Kto odpowiada w razie takiego przypadku?

Pytanie od: Lenka28


Nasz ekspert odpowiada

Kradzież danych z portali internetowych stanowi naruszenie ochrony danych osobowych, którego definicja wskazana została w art. 4 pkt 12 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako: RODO). Obecnie obowiązujące przepisy kształtują pewne obowiązki, oraz kwestie odpowiedzialności za takie naruszenie:

I. Obowiązki administratora danych/podmiotu przetwarzającego dane

W przypadku zaistnienia tego naruszenia administrator danych osobowych powinien zrealizować następujące obowiązki:

1. Bez zbędnej zwłoki, jednak w miarę możliwości nie później niż 72 godziny po stwierdzeniu naruszenia zgłosić naruszenie ochrony danych osobowych właściwemu organowi nadzorczemu (W Polsce funkcję tę sprawuje Prezes Urzędu Ochrony Danych Osobowych). Podmiot przetwarzający dane osobowe w imieniu administratora po stwierdzeniu naruszenia zgłasza je administratorowi. (art. 33 RODO).

2. Bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą o powstałym naruszeniu (art. 34 RODO).

Należy podkreślić, że nie w każdej sytuacji te obowiązki muszą być przez administratora danych realizowane. W przypadku zawiadomienia z art. 33 RODO, jego złożenie jest zależne od prawdopodobieństwa, czy naruszenie ochrony danych skutkowało ryzykiem naruszenia praw i wolności osób fizycznych. Z kolei złożenie zawiadomienia z art. 34 RODO zostało uzależnione do ryzyka naruszenia praw i wolności osób fizycznych, które w tym przypadku musi być odpowiednio wysokie.

II. Odpowiedzialność cywilna i karna

Administrator lub podmiot danych może ponieść odpowiedzialność cywilną za szkodę powstałą wskutek kradzieży danych tylko po spełnieniu przesłanek wyrażonych w art. 82 RODO:

1. Po stronie podmiotu danych musi powstać szkoda majątkowa lub niemajątkowa

2. Administrator danych/podmiot przetwarzający dane naruszył przepisy rozporządzenia

3. Powyżej wskazana szkoda musi być skutkiem naruszenia przepisów rozporządzenia

4. Naruszenie ogólnego rozporządzenia musi być zawinione

Jeżeli więc administrator lub podmiot przetwarzający dane w sposób zawiniony nie wypełnili obowiązków nałożonych na nich przez rozporządzenie, wskutek czego dojdzie do kradzieży danych a ostatecznie do powstania szkody po stronie podmiotu danych, będzie on zobowiązany do naprawienia takiej szkody.

Warto zaznaczyć, że również osoba, która dopuściła się kradzieży danych osobowych może zostać skazana za popełnienie przestępstwa wskazanego w art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Przepis ten wskazuje, że podlega karze ten, kto przetwarza dane osobowe, gdy ich przetwarzanie jest niedopuszczalne albo do ich przetwarzania nie jest uprawniony. Kary wskazane w przepisie to:

  • grzywna,
  • ograniczenie wolności,
  • pozbawienie wolności do lat dwóch w przypadku zwykłych danych, oraz do lat trzech gdy naruszenie dotyczyło danych szczególnych (takich jak pochodzenie rasowe, etniczne, przekonania religijne, dane biometryczne lub genetyczne).

III. Administracyjne kary pieniężne

Niezależnie od skorzystania przez organ nadzorczy z uprawnień naprawczych oraz bez względu na skorzystanie przez podmiot danych ze środków ochrony prawnej przez sądem, może dojść do nałożenia kary administracyjnej. Wymierzając karę, organ w każdym przypadku musi dopilnować żeby była ona skuteczna, proporcjonalna i odstraszająca. Tym samym jej wysokość jest uwarunkowana rodzajem naruszenia oraz charakterem podmiotu. Adresatem kary może być zarówno administrator jak i podmiot przetwarzający, a w niektórych przypadkach także podmiot certyfikujący czy monitorujący. Dokonano podziału kar na 2 grupy i w każdej z nich określono 2 progi wysokości. W pierwszej będzie to odpowiednio kara w wysokości do 10 000 0000 euro, a w przypadku przedsiębiorstwa - do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Natomiast kary wyższe kształtują się na poziomie do 20 000 000 euro lub do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Biorąc pod uwagę, że jedną z przesłanek naruszenia danych osobowych jest zaistnienie naruszenie bezpieczeństwa, a takowe występuje gdy organizacyjne i techniczne środki zabezpieczenia (art.. 32 RODO) nie spełniają swojej roli. W takiej sytuacji zastosowanie znajdą kary z grupy pierwszej. Pozostałe przesłanki nałożenia kary niższej to naruszenie:

a) obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 –39 oraz 42 i 43,

b) obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43,

c) obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4.

Natomiast kradzież danych z portali internetowych można zakwalifikować m.in. jako przetwarzanie danych osobowych bez podstawy prawnej tj. działania niezgodnego z jedną z podstawowych zasad przetwarzania – zasadą zgodności z prawem. W tej sytuacji znajdą zastosowanie kary administracyjne z drugiej grupy – kary wyższe. Inne przesłanki nałożenia kary wyższej to naruszenie:

a) podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9,

b) praw osób, których dane dotyczą, o których mowa w art. 12–22,

c) przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44–49,

d) wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX,

e) nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1.

5
/ 5
(liczba głosów: 
3
)
Twoja ocena

Bardzo prawdopodobne, że odpowiedź na nurtujące cię pytanie znajduje się już w naszej bazie. Sprawdź to! W tym celu w okienku poniżej opisz hasłowo swój problem – postaraj się ograniczyć do trzech–czterech słów. Jeżeli wynik będzie negatywny, zadaj pytanie, korzystając z formularza.

Zadaj pytanie

Nasi eksperci dołożą wszelkich starań, aby szybko odpowiedzieć na Twoje pytanie. Mimo to w niektórych przypadkach czas oczekiwania na odpowiedź może wynosić od kilku do kilkunastu dni. Redakcja zastrzega sobie prawo niepublikowania pytań zadawanych wielokrotnie lub tych, na które odpowiedzi pojawiły się już w serwisie.

Nasi Partnerzy

logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo
logo

Ta strona używa ciasteczek (cookies), dzięki którym nasz serwis może działać lepiej. Więcej informacji znajdziesz w naszej Polityce cookies

Ok, rozumiem.