Informatyk wykradł dane osobowe klientów firmy, w której pracował. A później je sprzedał. Na skutek planowanych zmian w prawie wkrótce walka z takimi przypadkami może być utrudniona.
Imiona, nazwiska, adresy mailowe i numery telefonów klientów – dwa miliony tego typu rekordów zawierała baza marketingowa dużej międzynarodowej firmy, do której Konrad K. miał dostęp jako informatyk. Postanowił wykorzystać tę możliwość, wykraść dane i zarobić na ich sprzedaży. Na jego trop wpadł specjalny dział Prokuratury Okręgowej w Warszawie zajmujący się zwalczaniem cyberprzestępczości. Na razie śledczy ustalili, że sprawca sprzedał ok. 58 tys. rekordów ze wspomnianej bazy danych.
Sprawę udało się wykryć dzięki działalności Biura do Walki z Cyberprzestępczością w Komendzie Głównej Policji. Jak dowiedział się DGP, podejrzanemu prokuratura zarzuca popełnienie przestępstwa związanego z nielegalnym wykorzystaniem informacji, które penalizuje art. 266 ustawy z 6 czerwca 1997 r. – Kodeks karny (t.j. Dz.U. z 2017 poz. 851 ze zm.), a także popełnienie szeregu czynów zabronionych określonych w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922). Za tego typu naruszenia podejrzanemu grozi kara nawet dwóch lat pozbawienia wolności.
Stępią ostrze sprawiedliwości
Wkrótce stawianie tego typu zarzutów karnych może jednak należeć do przeszłości. Trwają bowiem prace przygotowujące polski system prawny do wdrożenia rozporządzenia nr 679/2016 Parlamentu Europejskiego i Rady UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.Urz. UE z 2016 r. L 119, s.1).
Unijny prawodawca stawia nacisk na administracyjne kary pieniężne oraz odpowiedzialność cywilną za naruszenia związane z przetwarzaniem danych osobowych. Tymczasem kwestia odpowiedzialności karnej została pozostawiona państwom członkowskim. To one mają decydować, czy przewidywać ten rodzaj sankcji.
Z zaprezentowanego przez Ministerstwo Cyfryzacji projektu nowej ustawy o ochronie danych osobowych wynika, że Polska zamierza zrezygnować z obowiązujących szczegółowych przepisów o odpowiedzialności karnej. Projektowany akt prawny nie przewiduje przepisów karnych, które obecnie penalizują przetwarzanie danych osobowych bez uprawnienia, niewykonywanie obowiązków informacyjnych względem osób fizycznych czy też brak rejestracji zbioru danych. W efekcie zostałyby jedynie szczątkowe ogólne regulacje kodeksu karnego. W takim stanie prawnym informatyk odpowiadałby jedynie za nieuprawnione wykorzystanie informacji, ale już nie za pozostałe przestępstwa, które mu zarzucono, jak np. nielegalna sprzedaż danych osobowych. Taki kierunek zmian poważnie niepokoi GIODO (patrz ramka).
Eksperci podzieleni w swoich opiniach
Prawnicy na co dzień zajmujący się opisywaną problematyką są podzielni co do oceny pomysłu odejścia od rozbudowanej odpowiedzialności karnej.
– W naszej opinii różne reżimy odpowiedzialności – administracyjny i cywilny dla osób prawnych oraz karny i cywilny dla osób fizycznych – są potrzebne i wzajemnie się uzupełniają – wskazuje Katarzyna Szymielewicz, prezeska fundacji Panoptykon.
Specjaliści podkreślają także, iż wprowadzenie surowych administracyjnych kar pieniężnych dla firm jest czymś pożądanym, ponieważ często naruszenia przy przetwarzaniu danych mają charakter systemowy, wynikający z ignorowania prawa przez przedsiębiorców.
Z drugiej jednak strony, jak pokazuje przywołany przypadek informatyka, są sytuacje, gdy to osoba fizyczna świadomie narusza wewnętrzne procedury bezpieczeństwa i kradnie dane.
– Ogólne reguły odpowiedzialności karnej nie będą wystarczające i liczę na to, że w polskim prawie zostaną utrzymane szczegółowe przepisy określające odpowiedzialność za przestępstwa związane z danymi osobowymi – dodaje Szymielewicz.
Inaczej sytuację ocenia dr Paweł Litwiński, adwokat z Barta Litwiński Kancelarii Radców Prawnych i Adwokatów sp. p. Uważa on, że pominięcie przepisów karnych w nowej ustawie, jeśli finalnie tak się stanie, będzie dobrym posunięciem. – W 2014 r. GIODO wydał 1218 decyzji administracyjnych. W tym samym czasie zapadły 22 wyroki skazujące z przepisów karnych ustawy o ochronie danych osobowych, przy czym nie została orzeczona ani jedna kara pozbawienia wolności bez zawieszenia, a wymierzone kary grzywny nie przekroczyły 5 tys. zł – przekonuje dr Litwiński.
Praktyka pokazuje, że odpowiedzialność karna jest nieefektywna i funkcjonuje w dużej mierze tylko na papierze. Dlatego w jego ocenie przyznanie GIODO (w nowej ustawie Prezes Urzędu Ochrony Danych Osobowych) kompetencji do nakładania wysokich administracyjnych kar pieniężnych będzie bardziej skuteczne z perspektywy egzekwowania prawa.

OPINIA

Trzeba utrzymać odpowiedzialność karną

Dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych

Prowadzone przez organy ścigania postępowania przygotowawcze dowodzą konieczności utrzymania modelu karnej odpowiedzialności za naruszenie przepisów o ochronie danych osobowych. Ogólne rozporządzenie o ochronie danych, które od 25 maja 2018 r. bezpośrednio będzie regulowało zasady przetwarzania danych osobowych, koncentruje się bowiem na administracyjnych karach pieniężnych. Przewiduje jednak możliwość wprowadzenia przez ustawodawcę krajowego sankcji karnych za poważne naruszenia przepisów o ochronie danych osobowych.
W opinii GIODO należy z tej możliwości skorzystać. Wprowadzenie skutecznych, proporcjonalnych i odstraszających sankcji karnych jest potrzebne m.in. z tego powodu, że, jak wynika ze wstępnych propozycji Ministerstwa Cyfryzacji, nie wszystkie podmioty będą podlegały karom pieniężnym. Duże znaczenie miałoby też umieszczenie przepisów karnych z zakresu ochrony danych osobowych w Kodeksie karnym, a nie – jak dotąd – w ustawie o ochronie danych osobowych. Poprawiłoby to bowiem skuteczność ich stosowania, zwłaszcza gdyby kary za naruszenia zostały podwyższone.