Ustawa z 10 maja 2018 r. o ochronie danych osobowych (cz. 7, ostatnia)

W ostatniej części komentarza do ustawy o ochronie danych osobowych (dalej: u.o.d.o.) omawiamy najważniejsze kwestie proceduralne związane z dochodzeniem roszczeń odszkodowawczych za szkody majątkowe lub niemajątkowe, powstałe w wyniku naruszenia przepisów o ochronie danych osobowych. Ze względu na to, że omawiana ustawa nie zawiera pełnej regulacji w tym zakresie, konieczne stało się przywołanie odpowiednich przepisów ustawy z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t.j. Dz.U. z 2018 r. poz. 2096 ze zm.; dalej: k.p.a.).

Kolejną kwestią poruszoną w VII części komentarza są zasady nakładania przez prezesa Urzędu Ochrony Danych Osobowych administracyjnych kar pieniężnych. Również w tym przypadku niezbędne stało się omówienie niektórych przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zawiązku z przetwarzaniem danych osobowych i w sprawie przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; dalej: ogólne rozporządzenie o ochronie danych, RODO) oraz przepisów kodeksu postępowania administracyjnego.

Ostatnim zagadnieniem omówionym w niniejszym komentarzu jest odpowiedzialność karna podmiotów uczestniczących w procesie przetwarzania danych osobowych. W części tej scharakteryzowane zostały przestępstwa wymienione w ustawie, a także sankcje, jakie mogą wynikać dla podmiotów łamiących zasady legalnego przetwarzania danych osobowych z innych przepisów. ©℗

Poprzednie części komentarza ukazały się:

• cz. 1 – 19 czerwca 2018 r. (DGP nr 117)

• cz. 2 – 24 lipca 2018 r. (DGP nr 142)

• cz. 3 – 21 sierpnia 2018 r. (DGP nr 161)

• cz. 4 – 18 września 2018 r. (DGP nr 181)

• cz. 5 – 23 października 2018 r. (DGP nr 206)

• cz. 6 – 20 listopada 2018 r. (DGP nr 225)

Michał Koralewski

radca prawny

TYDZIEŃ Z KOMENTARZAMI – baza publikacji

W tygodniku Firma i Prawo komentowaliśmy ustawy:

• z 2 lipca 2004 r. o swobodzie działalności gospodarczej

• z 5 lipca 2001 r. o cenach

• z 29 sierpnia 1997 r. o ochronie danych osobowych

• z 16 września 1982 r. – Prawo spółdzielcze

• z 3 lutego 1995 r. o ochronie gruntów rolnych i leśnych

• z 8 marca 2013 r. o terminach zapłaty w transakcjach handlowych

• z 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym

• z 12 grudnia 2012 r. o ogólnym bezpieczeństwie produktów

• z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji

• z 14 grudnia 2012 r. o odpadach

• z 30 maja 2014 r. o prawach konsumenta

• z 6 września 2001 r. o transporcie drogowym

• z 15 maja 2015 r. – Prawo restrukturyzacyjne

• z 29 stycznia 2004 r. – Prawo zamówień publicznych

• z 20 lipca 2017 r. – Prawo wodne

• z 23 kwietnia 1964 r. – Kodeks cywilny (wyciąg dotyczący rękojmi i gwarancji)

Przeoczyłeś tygodnik? Znajdziesz go w wydaniach dgp na www.edgp.gazeta prawna.pl

Art. 100. [Odesłanie do kodeksu postępowania cywilnego]

Do postępowania w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i art. 82 rozporządzenia 2016/679, w zakresie nieuregulowanym niniejszą ustawą stosuje się przepisy ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego.

komentarz

• Naruszenia objęte roszczeniami. Na wstępie wyjaśnienia wymaga, o jakich postępowaniach sądowych jest mowa w przywołanych art. 79 oraz 82 ogólnego rozporządzenia o ochronie danych (RODO).

Pierwszy ze wskazanych artykułów kształtuje prawo osoby, której dane dotyczą, do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu. Postępowania oparte na tym przepisie dotyczyć zatem będą przypadków, w których prawa przysługujące takiej osobie na mocy ww. rozporządzenia zostałyby naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem przepisów tegoż rozporządzenia. Przykłady w tym zakresie można mnożyć, gdyż RODO nie ogranicza omawianego prawa do konkretnych naruszeń. Mogą to być sytuacje, gdy dane osobowe przetwarzane są bez podstawy prawnej, w tym wbrew cofnięciu zgody albo pomimo wniesienia sprzeciwu. Roszczeniami mogą być objęte również takie sytuacje, w których administrator danych nie wykonał innych obowiązków ciążących na nim względem osoby, której dane dotyczą, np. nie przekazał tej osobie informacji o przetwarzaniu jej danych osobowych (art. 13 albo 14 RODO).

Wskazany powyżej art. 79 RODO dotyczy jednakże nie tylko odpowiedzialności administratora danych, lecz także podmiotu przetwarzającego (procesora). Może się zdarzyć, że również ten podmiot będzie przetwarzać dane osobowe z naruszeniem warunków nałożonych na niego przez ogólne rozporządzenie o ochronie danych.

W postępowaniu opartym o przepisy art. 79 RODO dochodzić można przede wszystkim zobowiązania pozwanego (będzie nim bądź administrator danych, bądź procesor albo oba te podmioty łącznie) m.in. do doprowadzenia do przetwarzania danych zgodnie z prawem, usunięcia danych osobowych albo wykonania innych obowiązków ciążących na tych podmiotach względem osoby, której dane dotyczą.

Postępowanie oparte o przepisy art. 82 RODO dotyczy z kolei roszczeń odszkodowawczych. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia ww. rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

• Kto może wystąpić. Oba przepisy (art. 79 i 82 RODO) różnią się zatem nie tylko zakresem przedmiotowym (roszczeniami, które przyznają), lecz także podmiotowym. O ile bowiem w pierwszym przypadku z roszczeniami mogła wystąpić wyłącznie osoba, której dane dotyczą, to art. 82 RODO nie wprowadza takiego ograniczenia. Z roszczeniami może bowiem wystąpić każda osoba, niezależnie od jej roli w procesie przetwarzania danych osobowych. Warunkiem jest poniesienie przez nią szkody w wyniku naruszenia przepisów RODO. Można zatem wyobrazić sobie nawet sytuację, że o odszkodowania występuje podmiot przetwarzający względem administratora danych bądź odwrotnie.
• Rodzaje roszczeń. Co ważne, RODO nie ogranicza roszczeń odszkodowawczych jedynie do szkód majątkowych (np. poniesienie straty finansowej, utrata spodziewanych korzyści), ale pozwala również na domaganie się zadośćuczynienia za krzywdę (szkodę niemajątkową). Ta ostatnia może natomiast wyniknąć z wywołania negatywnych odczuć po stronie pokrzywdzonego (cierpienie psychiczne, uczucie wstydu itp.) powstałych na skutek naruszenia RODO. Tego typu zdarzenia mogą być następstwem niedozwolonego ujawnienia danych osobowych wrażliwych odnoszących się do pokrzywdzonego. Upublicznienie informacji o niektórych chorobach może bez wątpienia wiązać się z negatywnymi konsekwencjami dla osoby, której dane dotyczą, także w sferze przeżyć psychicznych.

Same natomiast zasady odpowiedzialności odszkodowawczej, w tym solidarności dłużników istniejącej pomiędzy administratorem danych i podmiotem przetwarzającym, zostały omówione w komentarzu do art. 92 u.o.d.o.

• Stosowanie k.p.c. Komentowany artykuł nakazuje stosowanie wprost przepisów ustawy z 17 listopada 1964 r. – Kodeks postępowania cywilnego (t.j. Dz.U. z 2018 r. poz. 1360 ze zm.) do spraw, w których roszczenia oparte są na wskazanych przepisach RODO. Odesłanie wprost do ustawy procesowej oznacza, że jej przepisy nie podlegają żadnym modyfikacjom. Nadto należy stosować wszystkie, właściwe do danej sprawy, przepisy k.p.c. Nie jest możliwe pominięcie niektórych z nich. Wynika to z faktu, że wszystkie modyfikacje przepisów procesowych ustawodawca zamieścił w art. 93–99 u.o.d.o., wskazując przy tym wprost, że w pozostałym zakresie należy stosować polską ustawę procesową.
• Modyfikacje względem k.p.c. Modyfikacje względem ogólnych zasad postępowania cywilnego, które wynikają z art. 93–99 u.o.d.o., dotyczą wyłącznie następujących kwestii:

– właściwości rzeczowej sądu rozpoznającego sprawy – właściwy w tym zakresie jest sąd okręgowy w I instancji oraz sąd apelacyjny w II instancji;

– określenia zasad wymiany informacji pomiędzy sądem rozpoznającym sprawę a prezesem UODO;

– wprowadzenia dodatkowej przesłanki uzasadniającej zawieszenie postępowania sądowego – stanie się tak, gdy sprawa dotycząca tego samego naruszenia przepisów o ochronie danych osobowych została wszczęta przed prezesem UODO;

– wprowadzenia dodatkowej przesłanki umorzenia postępowania sądowego – sąd umarza postępowanie w zakresie, w jakim prawomocna decyzja prezesa UODO o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocny wyrok wydany w wyniku wniesienia skargi, o której mowa w art. 145a par. 3 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2018 r. poz. 1302 ze zm.), uwzględnia roszczenie dochodzone przed sądem;

– wprowadzenia zasady, że ustalenia prawomocnej decyzji prezesa UODO o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocnego wyroku wydanego w wyniku wniesienia skargi, o której mowa w art. 145a par. 3 ustawy Prawo o postępowaniu przed sądami administracyjnymi, wiążą sąd w postępowaniu o naprawienie szkody wyrządzonej przez naruszenie przepisów o ochronie danych osobowych co do stwierdzenia naruszenia tych przepisów;

– przyznania prezesowi UODO specjalnych kompetencji w zakresie inicjowania postępowań sądowych oraz udziału w nich – są zbliżone do kompetencji prokuratora;

– wprowadzenia prawa prezesa UODO do przedstawienia sądowi istotnego dla sprawy poglądu w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych.

Treść art. 93–99 u.o.d.o. była szczegółowo omawiana w odcinku szóstym niniejszego komentarza.

• Przykłady zastosowania ogólnych zasad k.p.c. W pozostałym zakresie zastosowanie znajdują wprost przepisy kodeksu postępowania cywilnego. Ogólne zasady znajdą zatem zastosowanie w szczególności do tak istotnych elementów, jak wymienione niżej.

– Określenie właściwości miejscowej sądu okręgowego, który rozpatrywać będzie sprawę. Wspomniane przepisy ustawy o ochronie danych osobowych wyznaczają jedynie właściwość rzeczową, a zatem decydują, czy sprawę w pierwszej instancji rozpoznawać będzie sąd rejonowy, czy też sąd okręgowy. Komentowana ustawa nie określa natomiast zasad, w oparciu o które należy określić konkretny sąd, do którego powód powinien skierować swój pozew. Zasady te odnajdziemy natomiast w kodeksie postępowania cywilnego. Zgodnie z jedną z nich właściwym miejscowo jest sąd, w którego okręgu zamieszkuje albo ma siedzibę strona pozwana (art. 27 par. 1 oraz art. 30 k.p.c.). W kolejnych przepisach k.p.c. wskazano liczne wyjątki umożliwiające wybór sądu właściwego (właściwość przemienna) albo zmieniające właściwość miejscową sądu (właściwość wyłączna).

– Warunki formalne, jakim powinny odpowiadać pozew oraz dalsze pisma procesowe. Wymagania te znajdziemy w art. 126 k.p.c. (ogólne warunki pism procesowych) oraz art. 187 k.p.c. (warunki formalne pozwu).

– Zasady związane z prowadzeniem postępowania sądowego. Chodzi m.in. o zgłaszanie wniosków dowodowych, ciężar dowodu oraz przeprowadzanie dowodów – te zaś w obu rodzajach spraw, którym poświęcony jest komentowany artykuł, będą odgrywały kluczową rolę. Inaczej aniżeli w postępowaniu przed prezesem UODO, to na powodzie spoczywał będzie ciężar wykazania okoliczności wskazanych w pozwie. Dotyczy to nie tylko faktu naruszenia przepisów RODO, lecz także wysokości szkody oraz związku przyczynowego pomiędzy szkodą a bezprawnym zachowaniem pozwanego. Nadmienić jednakże należy, że prezes UODO może wspomóc powoda, przedstawiając swoje uzasadnione stanowisko w sprawie (zob. komentarz do art. 99 u.o.d.o.). Nadto sąd w postępowaniu o naprawienie szkody wyrządzonej przez naruszenie przepisów o ochronie danych osobowych będzie związany decyzją administracyjną organu nadzorczego co do stwierdzenia naruszenia tychże przepisów (zob. komentarz do art. 97 u.o.d.o.).

– Instancyjność postępowania sądowego. Inaczej niż w przypadku postępowania administracyjnego prowadzonego przez prezesa UODO, postępowanie sądowe jest dwuinstancyjne. Od wyroku wydanego przez sąd okręgowy stronie przysługiwać będzie prawo do wniesienia apelacji do sądu II instancji – sądu apelacyjnego. Co ważne, z apelacją będzie mógł wystąpić również prezes UODO, jeżeli będzie brał udział w postępowaniu – w takim bowiem przypadku stosuje się do niego przepisy o prokuratorze (zob. komentarz do art. 98 u.o.d.o.).

To tylko najważniejsze przykłady stosowania norm polskiego prawa do roszczeń opartych na art. 79 lub 82 RODO. Kodeks postępowania cywilnego stanowić będzie zasadniczy akt prawa procesowego dla sądu orzekającego w danej sprawie, a także dla stron i innych uczestników postępowania.

Wyjaśnić również należy, że powództwo będzie mogło zostać oparte zarówno na jednym z ww. przepisów RODO, jak i na obu jednocześnie. Inaczej mówiąc, powód w jednym pozwie uprawniony będzie zarówno do żądania, aby sąd zobowiązał pozwanego do określonego postępowania zgodnego z przepisami ogólnego rozporządzenia o ochronie danych, jak i do domagania się zasądzenia odszkodowania lub zadośćuczynienia na swoją rzecz z tytułu naruszenia przepisów o ochronie danych osobowych. [wzór 1]

wzór 1

Wrocław, 10 grudnia 2018 r.

Sąd Okręgowy we Wrocławiu

Wydział I Cywilny

Powód:

Adam Nowak,

zam. Wrocław, ul. Wrocławska 1

PESEL: 75151516575

Pozwany:

ABC spółka z o.o.

z siedzibą we Wrocławiu przy ul. Wrocławskiej 50

Wartość przedmiotu sporu: 10 000 zł

Pozew o zadośćuczynienie

Działając w imieniu własnym, wnoszę o:

1) zasądzenie od ABC spółki z o.o. z siedzibą we Wrocławiu na moją rzecz 10 000 zł wraz z odsetkami ustawowymi za opóźnienie liczone od 1 grudnia 2018 r. (data wymagalności roszczenia) do dnia zapłaty, a także kosztów postępowania według norm przepisanych,

2) dopuszczenie dowodów wskazanych w uzasadnieniu pozwu, w tym wezwanie na rozprawę podanych przez powoda świadków w celu przesłuchania ich na wnioskowane okoliczności,

3) przeprowadzenie postępowania także pod nieobecność powoda.

Uzasadnienie

Powód jest pracownikiem pozwanego. Choruje na chorobę przewlekłą powszechnie uznawaną za wstydliwą. Powód 2 czerwca 2018 r. dostarczył pozwanej spółce zwolnienie lekarskie zawierające informacje o tej chorobie.

Dowody: odpis umowy o pracę, odpis świadectwa pracy, odpis zwolnienia lekarskiego.

Z powodu braku należytego zabezpieczenia akt pracowniczych przez pracodawcę informacja o chorobie powoda została upubliczniona. Powód stał się obiektem drwin i wyśmiewania przez kolegów z pracy. Stan ten utrzymywał się nieprzerwanie do listopada 2018 r., gdy powód, nie mogąc dalej go znieść, rozwiązał umowę o pracę za porozumieniem stron.

Dowód: zeznania świadków Jana Kowalskiego (zam. Wrocław, ul. Szczecińska 1) oraz Adama Wiśniewskiego (zam. Wrocław, ul. Radomska 15) na okoliczność ujawnienia informacji o chorobie powoda przez pracodawcę, a także reakcji załogi zakładu pracy na tę informację, w szczególności ciągłego wyśmiewania i drwin.

Powód pismem z 15 czerwca 2018 r. wezwał pozwanego do powzięcia działań mających na celu naprawienie wyrządzonej szkody. Wezwanie to pozostało bez odpowiedzi, pozwany nie przeprosił powoda za dopuszczenie do wycieku informacji o jego chorobie.

Powód 15 lipca 2018 r. wezwał pozwanego do zapłaty, zastrzegając jednocześnie, że jest gotowy do polubownego zakończenia sporu. W odpowiedzi pozwany odpisał, że nie poczuwa się do jakiejkolwiek odpowiedzialności względem powoda.

Dowody: odpis pisma powoda z 15 czerwca 2018 r.,

odpis pisma powoda z 15 lipca 2018 r.,

odpis pisma pozwanego z 23 lipca 2018 r.

Wobec powyższego, a także dalszych drwin kierowanych pod adresem powoda, niniejszy pozew stał się konieczny.

Podstawę roszczenia powoda stanowi art. 82 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO). Pozwany bowiem nie wprowadził jakichkolwiek zabezpieczeń w dostępie do gromadzonych przez niego danych osobowych, nie wydał upoważnień pracownikom mającym do nich dostęp oraz nie przeszkolił ich w zakresie ochrony danych osobowych. Bez wątpienia zatem ponosi on winę za zaistniałą sytuację.

Dowód: zeznania świadka Anny Kowalskiej (zam. Wrocław, ul. Gdyńska 5), świadka Dominiki Wiśniewskiej (zam. Wrocław, ul. Białostocka 100/1) na okoliczność braku zabezpieczeń przechowywanych akt osobowych przed dostępem osób nieuprawnionych, a także nie przestrzegania przez pozwanego obowiązków administratora danych wynikających z RODO.

Wysokość roszczenia ustalono adekwatnie do krzywdy powoda, która trwała nieprzerwanie od listopada 2018 r. i zmusiła powoda do zmiany miejsca pracy, oraz z uwzględnieniem jego stopy życiowej. Zadośćuczynienie powinno bowiem stanowić odczuwalną dla pokrzywdzonego rekompensatę za doznane cierpienia.

Sądem właściwym rzeczowo, zgodnie z art. 93 ustawy z 10 maja 2018 r. o ochronie danych osobowych, jest sąd okręgowy. Powód zamieszkuje we Wrocławiu, zatem sądem właściwym miejscowo będzie Sąd Okręgowy we Wrocławiu.

Mając na uwadze powyższe, wnoszę jak na wstępie.

Załączniki:

1) dowód uiszczenia opłaty sądowej od pozwu,

2) odpis umowy o pracę,

3) odpis świadectwa pracy,

4) odpis zwolnienia lekarskiego,

5) odpis pisma powoda z 15 czerwca 2018 r.,

6) odpis pisma powoda z 15 lipca 2018 r.,

7) odpis pisma pozwanego z 23 lipca 2018 r.,

8) odpis pozwu wraz z załącznikami 2–7.

Adam Nowak

©℗

Rozdział 11

Przepisy o administracyjnych karach pieniężnych i przepisy karne

Art. 101. [Administracyjne kary pieniężne]

Prezes Urzędu może nałożyć na podmiot obowiązany do przestrzegania przepisów rozporządzenia 2016/679, inny niż:

1) jednostka sektora finansów publicznych,

2) instytut badawczy,

3) Narodowy Bank Polski

– w drodze decyzji, administracyjną karę pieniężną na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.

komentarz

• Charakter kar administracyjnych. Administracyjne kary pieniężne stanowią jeden z najistotniejszych mechanizmów mających za cel mobilizowanie przedsiębiorców do przestrzegania przepisów ogólnego rozporządzenia o ochronie danych. Inaczej bowiem aniżeli było pod rządami poprzedniej ustawy o ochronie danych osobowych z 29 sierpnia 1997 r., obecnie wysokość kar finansowych może być bardzo dotkliwa – ich górna granica została określona na poziomie 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Należy jednak pamiętać o tym, że aby krajowy organ nadzorczy zdecydował się na nałożenie kary pieniężnej, musi on zweryfikować wiele – niżej wskazanych – okoliczności. Część z nich wpływać może na obniżenie wysokości kary finansowej, a część na jej zaostrzenie. Nadto wskazana powyżej kwota jest wartością maksymalną, dlatego nie należy oczekiwać, że kary będą zawsze wymierzane w takiej wysokości.

Pamiętajmy także, że od decyzji administracyjnej o nałożeniu kary pieniężnej przysługuje skarga do sądu administracyjnego. Wniesienie skargi wstrzymuje wykonanie decyzji. Podstawą do egzekucji kary finansowej będzie dopiero prawomocna decyzja administracyjna, czyli taka, która:

– nie została zaskarżona do sądu administracyjnego i upłynął już czas na wniesienie skargi albo

– została utrzymana w mocy prawomocnym wyrokiem sądu administracyjnego.

Do czasu ziszczenia się jednej ze wskazanych powyżej okoliczności decyzja o nałożeniu administracyjnej kary pieniężnej nie podlega wykonaniu. Rzecz jasna, sąd administracyjny może również uchylić zaskarżoną decyzję.

• Warunki nałożenia kar. Krajowy ustawodawca, wobec wyczerpującego unormowania tej kwestii w przepisach ogólnego rozporządzenia o ochronie danych, nie wprowadził odrębnej regulacji w prawie krajowym, odsyłając do odpowiednich przepisów RODO. Dlatego w komentowanym artykule zamieszczono odwołanie do art. 83 RODO. Przepisy te bowiem określają ogólne warunki nakładania administracyjnych kar pieniężnych.

Krajowy organ nadzorczy przy nakładaniu kar pieniężnych powinien kierować się przede wszystkim tym, by były one skuteczne, proporcjonalne i odstraszające. Kary te powinny zatem zmobilizować przedsiębiorcę do prowadzenia jego działań w zgodzie z RODO. A przy tym powinny odzwierciedlać stopień i zakres naruszenia prawa, powstałą szkodę, a także stopień winy sprawcy. Wymóg proporcjonalności nakazuje, by przy wymierzeniu kary uwzględniać także skalę działalności ukaranego, w tym jego całkowity roczny obrót. Ma to przeciwdziałać nakładaniu kar nadmiernych, które mogłyby doprowadzić przedsiębiorcę do upadłości.

Ponadto kary mają za zadanie działać prewencyjnie, a więc zniechęć (czy też odstraszać) inne podmioty przetwarzające dane osobowe od łamania ogólnego rozporządzenia o ochronie danych.

• Czynniki mające wpływ na wymiar sankcji. Wysokość administracyjnych kar pieniężnych, a także sama decyzja o ich nałożeniu, powinny być wynikiem analizy okoliczności, jakie wystąpiły w konkretnym przypadku. Analiza powinna odbywać się z uwzględnieniem następujących przesłanek:

a) charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody – w zależności od danego przypadku, okoliczności te mogą działać łagodząco albo zaostrzająco;

b) umyślny lub nieumyślny charakter naruszenia – umyślność naruszenia, jako jego forma kwalifikowana wpływa na zaostrzenie odpowiedzialności danego podmiotu;

c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą – chodzi tu o wszelkie prawne i faktyczne działania podejmowane przez podmiot w celu usunięcia skutków naruszenia ochrony danych osobowych;

d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 RODO – pierwszy ze wskazanych przepisów nakazuje uwzględnienie ochrony danych osobowych w fazie projektowania oraz wprowadzenie domyślnego poziomu ochrony danych osobowych; drugi natomiast tyczy się obowiązku administratora danych i podmiotu przetwarzającego do zapewnienia bezpieczeństwa przetwarzania uwzględniającego stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia;

e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego – popełnienie kolejnego naruszenia skłaniać może organ nadzorczy do surowszego potraktowania takiego podmiotu przy następnych naruszeniach;

f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków – przesłanka ta stanowić może ostatnią możliwość poprawienia swojej pozycji przez stronę postępowania; współpraca z organem nadzorczym, nieutrudnianie prowadzenia postępowania oraz przekazywanie żądanych informacji i dokumentów może pozytywnie wpłynąć na wymiar kary pieniężnej;

g) kategorie danych osobowych, których dotyczyło naruszenie – w szczególności, czy chodzi o dane osobowe szczególnie chronione, do których zaliczamy dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczących zdrowia, seksualności, orientacji seksualnej tej osoby, a także dane osobowe dotyczące wyroków skazujących i naruszeń prawa;

h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie – w tym miejscu przypomnieć należy, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych (przypadki mniejszej wagi);

i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie inne środki administracyjne – przestrzeganie tych środków, np. organ nadzorczy nakazał administratorowi danych lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO, bądź też wprowadził czasowe lub całkowite ograniczenia przetwarzania albo zakaz przetwarzania;

j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 RODO – tego typu okoliczności mogą działać na korzyść podmiotu, względem którego toczy się postępowanie, chyba że celowo naruszył on owe kodeksy postępowania albo zasady certyfikacji;

k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty – w tym punkcie wymienić można także działania powzięte po wykryciu naruszenia, takie jak zmiana wadliwych procedur i zabezpieczeń czy też zrekompensowanie szkody powstałej po stronie osoby, której dane dotyczą, a także każde inne działanie strony postępowania związane z daną sprawą oraz wszczętym na jej kanwie postępowaniem administracyjnym.

• Dwie maksymalne wysokości. Przepisy wskazywanego na wstępie art. 83 RODO wprowadzają dwie maksymalne stawki administracyjnej kary pieniężnej. Ich stosowanie zależne jest od rodzaju naruszenia. W tabeli przedstawione zostały poszczególne naruszenia oraz przyporządkowana im maksymalna możliwa do nałożenia stawka kary finansowej. [tabela 1]
• Sankcje w przypadku kilku naruszeń. Ogólne rozporządzenie o ochronie danych reguluje także sposób ustalenia wysokości administracyjnej kary pieniężnej, w wypadku gdy administrator danych lub podmiot przetwarzający naruszają umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia. W takim przypadku całkowita wysokość administracyjnej kary pieniężnej nie może przekraczać wysokości kary za najpoważniejsze naruszenie. Kary zatem nie podlegają sumowaniu, a są kumulowane w karze za najcięższe przewinienie.
• Wysokość kar w sektorze publicznym. RODO zawiera także dyspozycję dla państw członkowskich, by określiły one w swoich krajowych porządkach prawnych, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim. Polski ustawodawca skorzystał z tej możliwości, co znalazło wyraz w treści art. 102 ust. 1 i 2 u.o.d.o. Przewidziano tam, że prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 10 tys. zł na państwowe i samorządowe jednostki kultury. Natomiast, w wysokości do 100 tys. zł, na:

– pozostałe jednostki sektora finansów publicznych,

– instytuty badawcze,

– Narodowy Bank Polski.

Tabela 1

Maksymalne stawki ©℗

Rodzaj naruszenia	Wysokość kary
a) naruszenie obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25–39, 42 i 43 RODO, tj. naruszenia: • warunków wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego, • zasad przetwarzania niewymagającego identyfikacji, • obowiązku zapewnienia bezpieczeństwa danych osobowych, • obowiązku przestrzegania zasad powierzania danych osobowych, itp.; b) naruszenie obowiązków podmiotu certyfikującego, o których mowa w art. 42 i 43 RODO; c) naruszenie obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4 RODO, tj. zaniechanie podjęcia odpowiednich działań w przypadku naruszenia kodeksu przez administratora lub podmiot przetwarzający, w tym zawieszenia lub wykluczenia administratora lub podmiot przetwarzający spośród stosujących kodeks.	do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego
a) naruszenie podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 i 9 RODO, tj. zasad legalności, rzetelności, przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności, rozliczalności, a także warunków wyrażenia zgody na przetwarzanie danych zwykłych bądź danych szczególnych kategorii; b) naruszenie praw osób, których dane dotyczą, o których mowa w art. 12–22 RODO, tj. m.in. obowiązku informacyjnego względem osób, których dane dotyczą, a także praw tychże osób przysługujących im względem administratora danych (prawo dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo sprzeciwu); c) naruszenie zasad przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44–49 RODO; d) naruszenia wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX RODO (reguluje on takie kwestie, jak przetwarzanie danych a publiczny dostęp do dokumentów urzędowych, przetwarzanie krajowego numeru identyfikacyjnego, czy też przetwarzanie w kontekście zatrudnienia); e) nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1 RODO.	do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

Jak wynika z powyższego, administracyjne kary pieniężne w sektorze publicznym mogą być nakładane w znacznie mniejszej wysokości niż na podmioty z sektora prywatnego (zob. komentarz do art. 102 u.o.d.o.).

• Kary a inne środki naprawcze. Administracyjne kary pieniężne mogą być nakładane obok lub zamiast środków naprawczych przysługujących krajowym organom nadzorczym. Należą do nich m.in. wydawanie ostrzeżeń i upomnień, nakazanie określonego zachowania się administratorowi danych lub podmiotowi przetwarzającemu, wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, cofnięcie certyfikacji itp.

Co ważne, nie został przewidziany odwrotny mechanizm, tj. zastąpienie administracyjnej kary porządkowej jednym z ww. środków naprawczych. Niemniej jednak prezes UODO uprawniony jest do poprzestania na wydaniu ostrzeżenia dotyczącego możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania bądź udzielenia upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania. Wydanie tych aktów administracyjnych nie wymaga jednoczesnego zastosowania kary finansowej. Każdorazowo zatem decydujące znaczenie będą miały okoliczności konkretnej sprawy.

• Wykonanie decyzji. Co istotne, decyzja o nałożeniu przedmiotowej kary pieniężnej nie podlega natychmiastowemu wykonaniu. Ma to urzeczywistnić kolejny wymóg rozporządzenia RODO, które wymaga od państw członkowskich, by zapewniły w ramach krajowych przepisów odpowiednie zabezpieczenia proceduralne, obejmujące prawo do skutecznego sądowego środka ochrony prawnej i rzetelnego procesu, zgodnie z prawem danego państwa członkowskiego. Jak wcześniej wspomniano, w Polsce obowiązek ten wykonano poprzez wprowadzenie możliwości złożenia skargi na decyzję prezesa UODO do sądu administracyjnego.

Art. 102. [Nałożenie administracyjnej kary pieniężnej na niektóre podmioty publiczne]

1. Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100.000 złotych, na:

1) jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych;

2) instytut badawczy;

3) Narodowy Bank Polski.

2. Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 10.000 złotych na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych.

3. Administracyjne kary pieniężne, o których mowa w ust. 1 i 2, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.

komentarz

• Wysokość kar w sektorze publicznym. Jak wspomniano w komentarzu do poprzedniego artykułu ustawy, RODO zezwoliło na całkowitą rezygnację z nakładania administracyjnych kar pieniężnych na organy i podmioty publiczne bądź na redukcję wysokości tychże kar w prawie krajowym. Decyzja w tym zakresie pozostawiona została ustawodawcom poszczególnych państw członkowskich. Polski ustawodawca zdecydował się nie tylko na skorzystanie z tej możliwości, lecz także na dalsze zróżnicowanie maksymalnej wysokości administracyjnych kar pieniężnych, jakie mogą zostać nałożone na jednostki z sektora publicznego.
• Uzasadnienie odmiennego uregulowania. Jak czytamy w uzasadnieniu do projektu ustawy o ochronie danych osobowych, przede wszystkim trzeba zauważyć, że podmioty publiczne są finansowane ze środków budżetu państwa, a środki z administracyjnych kar pieniężnych stanowią dochód budżetu państwa. A zatem w przypadku nałożenia na podmiot publiczny administracyjnej kary pieniężnej środki z tej kary pośrednio trafiałyby z powrotem do tego podmiotu. O ile bowiem w odniesieniu do podmiotów spoza administracji publicznej administracyjna kara pieniężna jest dotkliwą sankcją, to nie można się zgodzić, że taki sam skutek odnosiła ona będzie w stosunku do podmiotów publicznych. Zatem kara ta nie spełniałaby swego represyjnego celu. Dodatkowo nakładanie kar na administrację publiczną w znacznych wysokości pośrednio obciąża obywateli (środki publiczne pochodzą również z obciążeń podatkowych wnoszonych przez obywateli). Nie sposób nie zgodzić się z przedstawioną argumentacją.
• Progi kwotowe. W przepisach komentowanego artykułu wprowadzono dwa progi kwotowe, obowiązujące dla kar w sektorze publicznym: 100 tys. zł oraz 10 tys. zł. Wprowadzenie drugiego z nich uzasadniane jest szczególną rolą instytucji kultury, a także zakresem i celem danych osobowych, jakie przez tego typu jednostki są przetwarzane.

Ograniczenie administracyjnych kar pieniężnych do kwoty 100 tys. zł znajdzie zastosowanie do następujących podmiotów:

– organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,

– jednostki samorządu terytorialnego oraz ich związki,

– związki metropolitalne,

– jednostki budżetowe,

– samorządowe zakłady budżetowe,

– agencje wykonawcze,

– instytucje gospodarki budżetowej,

– państwowe fundusze celowe,

– Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez prezesa Kasy Rolniczego Ubezpieczenia Społecznego,

– Narodowy Fundusz Zdrowia,

– samodzielne publiczne zakłady opieki zdrowotnej,

– uczelnie publiczne,

– Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne,

– inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, banków i spółek prawa handlowego,

– Narodowy Bank Polski.

Niższa wysokość maksymalnej kary finansowej ustanowiona została dla państwowych i samorządowych instytucji kultury. Do kategorii tej zalicza się w szczególności muzea, biblioteki publiczne oraz teatry, a także różnego typu instytuty.

• Forma i zasady wymierzania. Omawiane przepisy modyfikują jedynie maksymalną kwotę kary pieniężnej, jaka może zostać nałożona na wskazane powyżej jednostki organizacyjne. Podobnie jak w innych przypadkach, kara finansowa nakładana jest w formie decyzji administracyjnej, od której przysługuje skarga do sądu administracyjnego. Fakt, iż podmiotem ukaranym jest instytucja publiczna, nie pozbawia jej możliwości zaskarżenia decyzji administracyjnej prezesa UODO. Skarga taka spowoduje z mocy prawa wstrzymanie wykonania decyzji do czasu jej uprawomocnienia się.

Ustawodawca krajowy nie wprowadził także żadnych zmian w przesłankach nakładania kary oraz określania jej wysokości w konkretnym przypadku. Zastosowanie znajdą tutaj zasady analogiczne jak w przypadku innych podmiotów. Znalazło to potwierdzenie wprost w art. 102 ust. 3 u.o.d.o., w którym zamieszczono odesłanie do stosowania art. 83 RODO. Warunki te zostały szczegółowo opisane w komentarzu do art. 101 u.o.d.o.

Art. 103. [Przeliczanie kar pieniężnych na złote]

Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

komentarz

• Ustawowy przelicznik. Przepisy RODO o administracyjnych karach pieniężnych określają je w euro. Dlatego konieczne stało się zamieszczenie przepisu określającego sposób ich przeliczenia na walutę krajową. Rolę taką spełnia właśnie art. 103 u.o.d.o. Kwoty wyrażone w euro będą zatem przeliczane na złote po kursie średnim ogłoszonym przez Narodowy Bank Polski na 28 stycznia. Informacja ta zamieszczana jest w tabeli A kursów walut zawierającej bieżące kursy średnie walut obcych w złotych określonych w par. 2 pkt 1 i 2 uchwały nr 51/2002 Zarządu Narodowego Banku Polskiego z 23 września 2002 r. w sprawie sposobu wyliczania i ogłaszania bieżących kursów walut obcych (Dz.Urz. NBP z 2017 r. poz. 15).

Jeżeli 28 stycznia przypada na dzień ustawowo wolny od pracy, w NBP nie ogłasza kursu walut obcych, kurs ten przyjmuje się z najbliższego dnia następującego po tej dacie, w której został on ogłoszony.

Omawiany przepis nie znajduje zastosowania do administracyjnych kar pieniężnych nakładanych na mocy art. 102 niniejszej ustawy. Kary te bowiem nakładane są przez prezesa UODO w złotych, nie zaś w euro. Przeliczenie ich wartości nie jest zatem konieczne.

Art. 104. [Przeznaczenie wpływów z kar]

Środki z administracyjnej kary pieniężnej stanowią dochód budżetu państwa.

komentarz

• Dochód budżetu. Podobnie jak opłata pobierana przez prezesa UODO za czynności związane z certyfikacją (zob. komentarz do art. 26 u.o.d.o.), również środki pieniężne pochodzące z wymierzanych przez krajowy organ nadzorczy kar finansowych stanowią dochód budżetu państwa. Ze względu na to, że prezes UODO jest organem administracji publicznej, klasyfikacja omawianych środków nie powinna budzić wątpliwości. Ustawodawca nie zdecydował się na wskazanie konkretnego ich przeznaczenia. Trafiać zatem będą do budżetu państwa wraz z innymi dochodami.
• Przymusowa egzekucja. Zaliczenie przedmiotowych środków do dochodów budżetu państwa przesądza również o metodach ich przymusowej egzekucji. Zastosowanie w tym zakresie znajdować będzie ustawa z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (t.j. Dz.U. z 2018 r. poz. 1314 ze zm.).

Art. 105. [Terminy uiszczenia administracyjnych kar pieniężnych oraz ulgi w ich spłacie]

1. Administracyjną karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego.

2. Prezes Urzędu może, na wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty, ze względu na ważny interes wnioskodawcy.

3. Do wniosku, o którym mowa w ust. 2, dołącza się uzasadnienie.

4. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz.U. z 2018 r. poz. 800, 650, 723, 771 i 1000), od dnia następującego po dniu złożenia wniosku.

5. W przypadku rozłożenia administracyjnej kary pieniężnej na raty, odsetki, o których mowa w ust. 4, są naliczane odrębnie dla każdej raty.

6. W przypadku niedotrzymania odroczonego terminu uiszczenia administracyjnej kary pieniężnej albo terminu uiszczenia jej rat, odsetki są naliczane za okres od dnia upływu odroczonego terminu uiszczenia kary albo terminu uiszczenia poszczególnych rat.

7. Prezes Urzędu może uchylić odroczenie terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenie jej na raty, jeżeli ujawniły się nowe lub uprzednio nieznane okoliczności istotne dla rozstrzygnięcia lub jeżeli rata nie została uiszczona w terminie.

8. Rozstrzygnięcie Prezesa Urzędu w przedmiocie odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty następuje w drodze postanowienia.

9. Prezes Urzędu, na wniosek podmiotu ukaranego prowadzącego działalność gospodarczą, może udzielić ulgi w wykonaniu administracyjnej kary pieniężnej określonej w ust. 2, która:

1) nie stanowi pomocy publicznej;

2) stanowi pomoc de minimis albo pomoc de minimis w rolnictwie lub rybołówstwie – w zakresie i na zasadach określonych w bezpośrednio obowiązujących przepisach prawa Unii Europejskiej dotyczących pomocy w ramach zasady de minimis;

3) stanowi pomoc publiczną zgodną z zasadami rynku wewnętrznego Unii Europejskiej, której dopuszczalność została określona przez właściwe organy Unii Europejskiej.

komentarz

• Zakres regulacji: terminy i odstępstwa od zasad. Komentowany artykuł zawiera wiele regulacji istotnych z punktu widzenia mechanizmu uiszczania administracyjnych kar pieniężnych. Oprócz terminów, w jakich należy uiścić kary finansowe, uregulowano w nim odstępstwa od tychże zasad. Do tych ostatnich zaliczyć należy:

– odroczenie terminu zapłaty administracyjnej kary pieniężnej,

– rozłożenie na raty płatności administracyjnej kary pieniężnej,

– udzielenie ukaranemu przedsiębiorcy ulgi w spłacie administracyjnej kary pieniężnej.

• Ustawowy termin uiszczenia. Zgodnie z podstawową zasadą wyrażoną w niniejszym artykule administracyjną karę pieniężną uiszcza się w terminie 14 dni, licząc od dnia:

– upływu terminu na wniesienie skargi albo

– uprawomocnienia się orzeczenia sądu administracyjnego.

O ile pierwszy sposób określenia terminu zapłaty kary finansowej nie budzi wątpliwości, o tyle w odniesieniu do drugiego przypadku wymagane jest pewne uściślenie. Bez wątpienia chodzi tutaj o uprawomocnienie się orzeczenia sądu administracyjnego, w wyniku którego decyzja administracyjna prezesa UODO nie została wyeliminowana z porządku prawnego, a więc mimo zaskarżenia do sądu administracyjnego została utrzymana w mocy oraz stała się prawomocna.

Jeżeli zaś sąd administracyjny uchyli zaskarżoną decyzję i wyrok taki się uprawomocni, to nie będzie on mógł prowadzić do obowiązku uiszczenia kary pieniężnej przez skarżącego. Dopiero uprawomocnienie się kolejnej decyzji prezesa UODO nakładającej ponownie na dany podmiot karę pieniężną wiązać się będzie z aktywowaniem się obowiązku jej zapłaty w jednym ze wskazanych powyżej terminów.

• Dwa rodzaje ulg. Komentowany artykuł przewiduje dwa rodzaje ulgi w wykonaniu administracyjnej kary pieniężnej, którymi są: odroczenie terminu uiszczenia tej należności bądź rozłożenie jej na raty.

Prezes UODO nie został zatem uprawniony do umorzenia przedmiotowej kary pieniężnej i to zarówno w całości, jak i w części. Nie jest również możliwe umorzenie samych odsetek naliczonych z tytułu nieterminowej zapłaty tegoż zobowiązania publicznoprawnego. Kompetencje krajowego organu nadzorczego są zatem węższe niż chociażby uprawnienia organów podatkowych przewidziane w art. 67a i 67b ustawy z 29 maja 1997 r. – Ordynacja podatkowa (t.j. Dz.U. z 2018 r. poz. 800 ze zm.). Zestawienie to jest o tyle zasadne, że omawiane przepisy odsyłają do ordynacji podatkowej w zakresie wysokości opłaty prolongacyjnej (art. 105 ust. 4 u.o.d.o.).

• Postawa prawna zastosowania ulg. Kolejną zbieżnością pomiędzy u.o.d.o. oraz ordynacją podatkową jest podstawa prawna zastosowania jednej z przedmiotowych ulg w spłacie kary pieniężnej. Zarówno jedna, jak i druga ustawa posługują się przesłanką ważnego interesu osoby występującej o ulgę. Kryterium to stanowi klauzulę generalną, która nie została dookreślona w przepisach prawa. W celu jej rozszyfrowania można pomocniczo sięgnąć do orzecznictwa sądowego wydanego na gruncie przepisów ordynacji podatkowej.
• Pojęcie ważnego interesu. Ważny interes określa się zatem jako sytuację, w której z powodu nadzwyczajnych losowych przypadków dany podmiot nie jest w stanie uregulować zaległości publicznoprawnych. Będzie to np. utrata możliwości zarobkowania lub utrata majątku. Interes tego podmiotu należy rozpatrywać szerzej, mając na względzie nie tylko sytuacje nadzwyczajne, lecz także normalną sytuację ekonomiczną, w tym wysokość uzyskiwanych przez stronę dochodów czy konieczność ponoszenia wydatków, np. związanych z kosztami leczenia (tak wyrok Wojewódzkiego Sądu Administracyjnego w Kielcach z 25 październik 2018 r., sygn. akt I SA/Ke 288/18).

Co ważne, w orzecznictwie podkreśla się również, że przesłankę „ważnego interesu” w zakresie możliwości uzyskania przez wnioskodawcę dochodów organ obowiązany jest badać na dzień rozpoznawania wniosku, a nie uzasadniać swoje rozstrzygnięcie zdarzeniami przeszłymi czy przyszłymi i niepewnymi. Ogólna sytuacja finansowa, rodzinna, zdrowotna, wiek wnioskodawcy, możliwości zatrudnienia winny być przedmiotem rozważań organów w kontekście przesłanki „ważnego interesu”, a nie przyczyny, które doprowadziły do powstania trudnej sytuacji finansowej. Wina w podejmowaniu złych decyzji nie może skutkować premią w postaci umorzenia zaległości (tak wyrok WSA w Gdańsku z 26 września 2018 r., sygn. akt I SA/Gd 643/18).

Z innej strony, nawet stwierdzenie przez prezesa UODO wystąpienia ważnego interesu po stronie wnioskodawcy nie obliguje organu nadzorczego do zastosowania omawianej ulgi. W art. 105 w ust. 2 u.o.d.o. wprost wskazano, że „Prezes Urzędu może” – tym samym decyzję w tej kwestii pozostawiając uznaniu administracyjnemu. I w tym miejscu przywołać można stanowisko wyrażone na gruncie ordynacji podatkowej, w myśl którego w takim przypadku organ powinien najpierw wyważyć interes jednostki i interes majątkowy Skarbu Państwa (tak wyrok WSA w Białymstoku z 6 czerwca 2018 r., sygn. akt I SA/Bk 6/18).

• Wniosek o przyznanie. Osoba pragnąca skorzystać z ulgi w spłacie administracyjnej kary pieniężnej zobowiązana jest wystąpić o jej przyznanie ze stosownym wnioskiem. Prezes UODO nie może przyznać omawianej ulgi z urzędu. Komentowany artykuł nie określa terminu, w jakim przedmiotowy wniosek powinien zostać złożony. Bez wątpienia jednakże należałoby to uczynić przed upływem terminu na zapłatę kary pieniężnej, o którym mowa w art. 105 ust. 1 u.o.d.o. Co prawda ustawa nie wyłącza późniejszego wystąpienia z wnioskiem, jednakże w takim przypadku wnioskodawca ryzykuje wszczęcie postępowania egzekucyjnego w administracji na podstawie tytułu wykonawczego wystawionego przez prezesa UODO.

W tym miejscu należy wyjaśnić, że egzekucja administracyjna – która ma zastosowanie także do administracyjnych kar pieniężnych nakładanych przez krajowy organ nadzorczy – może być wszczęta, jeżeli wierzyciel (w tym przypadku prezes UODO), po upływie terminu do wykonania przez zobowiązanego obowiązku, przesłał pisemne upomnienie zawierające wezwanie do wykonania obowiązku z zagrożeniem skierowania sprawy na drogę postępowania egzekucyjnego, chyba że przepisy szczególne stanowią inaczej. Postępowanie egzekucyjne może być wszczęte dopiero po upływie 7 dni od dnia doręczenia tego upomnienia. Sposób wszczęcia, przeprowadzenia oraz zakończenia postępowania egzekucyjnego normują przepisy ustawy z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (t.j. Dz.U. z 2018 r. poz. 1314 ze zm.).

• Zawartość wniosku. Wniosek o udzielenie ulgi w zapłacie kary pieniężnej powinien zawierać co najmniej następujące elementy:

– oznaczenie wnioskodawcy,

– oznaczenie decyzji administracyjnej, na mocy której nałożono na wnioskodawcę administracyjną karę pieniężną,

– wskazanie proponowanej ulgi w spłacie kary finansowej, tj. czy wnioskodawca zwraca się o jej odroczenie oraz na jaki okres, czy też o rozłożenie na raty – wraz z podaniem ilości i wysokości rat,

– uzasadnienie wniosku, w którym należy wykazać istnienie przesłanki ważnego interesu wnioskodawcy, czyli opisać okoliczności uzasadniające konieczność przyznania ulgi,

– w przypadku, gdy ulga stanowiłaby pomoc de minimis, wskazanie wysokości pomocy otrzymanej przez wnioskodawcę w ostatnich trzech latach, w celu weryfikacji czy i w jakiej wysokości można przyznać ją ponownie.

Co prawda we wniosku możliwe jest określenie preferowanego przez wnioskodawcę rodzaju ulgi, ale nie jest to wiążące dla prezesa UODO. Może on przyznać ulgę, ale samodzielnie określić jej warunki.

• Opłata dodatkowa. Krajowy organ nadzorczy, udzielając przedmiotowej ulgi, zobowiązany jest do naliczenia dodatkowej należności na wzór opłaty prolongacyjnej. Opłata ta pojawia się zarówno przy odroczeniu terminu płatności, jak i rozłożeniu kary finansowej na raty.

W każdym z tych przypadków będzie obliczana w podobny sposób. Od nieuiszczonej kwoty nalicza się odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę od zaległości podatkowych. Obecnie, zgodnie z obwieszczeniem ministra finansów z 4 stycznia 2016 r. w sprawie stawki odsetek za zwłokę od zaległości podatkowych, obniżonej stawki odsetek za zwłokę od zaległości podatkowych oraz podwyższonej stawki odsetek za zwłokę od zaległości podatkowych (M.P. nr 20 z 8 stycznia 2016 r.), odsetki te wynoszą 4 proc. kwoty zaległości w stosunku rocznym.

Wskazane odsetki naliczane są za okres liczony od dnia następującego po dniu złożenia wniosku aż do pełnej spłaty nałożonej na wnioskodawcę administracyjnej kary pieniężnej. O ile sposób ich obliczenia przy odroczeniu terminu płatności kary pieniężnej nie budzi wątpliwości, o tyle niejasne mogłoby się to okazać przy drugim rodzaju ulgi, czyli rozłożeniu należności na raty. Aby tego uniknąć, ustawodawca wprowadził przepis szczególny (art. 105 ust. 5 u.o.d.o.). Stanowi on, że w przypadku rozłożenia administracyjnej kary pieniężnej na raty odsetki te są naliczane odrębnie dla każdej raty. Pozwala to na spełnienie warunku, aby odsetki naliczane były wyłącznie od kwoty jeszcze nieuiszczonej. Każda uiszczona rata powoduje zaś zmniejszenie pozostałego do spłaty kapitału.

• Konsekwencje uchybienia odroczonemu terminowi zapłaty. Może się również zdarzyć, że wnioskodawca, który uzyskał ulgę w spłacie kary pieniężnej, uchybił odroczonemu terminowi jej zapłaty bądź terminowi płatności jednej z rat, na które płatność ta została rozłożona. W takim przypadku ustawa przewiduje, że za okres od dnia upływu odroczonego terminu uiszczenia kary pieniężnej (albo terminu uiszczenia poszczególnych rat) będą naliczane odsetki. W tym przypadku nie chodzi jednak o omawiane wcześniej odsetki mające stanowić swoistą opłatę prolongacyjną, ale o odsetki za opóźnienie, naliczane w zwykłej (nieobniżonej) wysokości. W tym przypadku zastosowanie znajdują odsetki za zwłokę w wysokości określonej jak dla zaległości podatkowych (zob. art. 189i par. 2 k.p.a.). Obecnie odsetki te wynoszą 8 proc. nieuiszczonej kwoty w stosunku rocznym.
• Uchylenie postanowienia o udzieleniu ulgi. Organ nadzorczy ma kompetencję do uchylenia wcześniejszego postanowienia przyznającego jedną z omawianych ulg. Podobnie jak w przypadku zastosowania ulgi, również i tego typu rozstrzygnięcie wydawane jest w ramach uznania administracyjnego tegoż organu administracji publicznej.

Przesłankami cofnięcia ulgi są następujące sytuacje:

– ujawniły się nowe lub uprzednio nieznane prezesowi UODO okoliczności istotne dla rozstrzygnięcia – przy czym okoliczności te sprawiają, że nie byłoby uzasadnione przyznanie ulgi wnioskodawcy,

– rata nie została uiszczona przez wnioskodawcę w terminie – użycie liczby pojedynczej każe zakładać, że do uchylenia ulgi wystarczający jest brak terminowej zapłaty chociażby jednej z rat.

Ze względu na dyskrecjonalny charakter tej drugiej przesłanki zakładać należy indywidualne podejście do każdego z przypadków. Niewielkie opóźnienie w spłacie jednej raty nie powinno przesądzać o uchyleniu przyznanej uprzednio ulgi.

• Postanowienie w sprawie ulgi. Rozstrzygnięcie prezesa UODO w przedmiocie odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty następuje w drodze postanowienia. Taką samą formę powinno mieć rozstrzygnięcie w przedmiocie uchylenia odroczenia bądź rozłożenia kary pieniężnej na raty.

Zgodnie z art. 7 ust. 3 i 4 u.o.d.o. od postanowienia takiego nie przysługuje ani zażalenie, ani wniosek o ponowne rozpoznanie sprawy. Wnioskodawca niezadowolony z treści postanowienia może wnieść natomiast skargę do sądu administracyjnego (zob. komentarz do art. 7 u.o.d.o.).

• Konsekwencje ostateczności postanowienia. Ze względu na to, że postanowienie prezesa UODO jest ostateczne w toku instancji, podlegać będzie wykonaniu. Nie znajdzie tu bowiem zastosowania art. 74 u.o.d.o., który przewiduje, że wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej. Odnosi się on bowiem do decyzji wydanej w zakresie kary finansowej. Tymczasem na kanwie art. 105 u.o.d.o. prezes UODO wydaje postanowienie. Ze względu zaś na to, że art. 74 u.o.d.o. stanowi przepis szczególny względem ogólnej zasady braku suspensywności środka odwoławczego, jego działanie nie powinno być rozciągane na sytuację unormowaną w komentowanym artykule.

Na marginesie należy dodać, że odmowa udzielenia ulgi w zapłacie administracyjnej kary pieniężnej nie wyłącza możliwości ponowienia wniosku w przypadku zmiany okoliczności sprawy.

• Ulgi a pomoc de minimis. W przypadku ulg w zapłacie kar pieniężnych, które miałyby zostać przyznane podmiotom prowadzącym działalność gospodarczą, organ nadzorczy musi dodatkowo ocenić, czy pomoc taka może stanowić pomoc publiczną, a w jej ramach, czy jest pomocą de minimis. Od tego bowiem zależeć może, czy dana ulga będzie udzielona, a jeśli tak – to w jakiej skali (aby nie naruszała przepisów o pomocy publicznej).

Pomocą publiczną jest każda forma wsparcia uczestników rynku przez państwo, a zatem zarówno pieniężna, jak i niepieniężna. Zgodnie z postanowieniami art. 107 Traktatu o funkcjonowaniu Unii Europejskiej zakazana jest pomoc publiczna, która zakłóca lub grozi zakłóceniem konkurencji poprzez sprzyjanie niektórym przedsiębiorstwom lub produkcji niektórych towarów w zakresie, w jakim wpływa na wymianę handlową między państwami członkowskimi UE. Pomoc publiczna w zakresie, w jakim wpływa na ww. relacje gospodarcze, wymaga notyfikacji Komisji Europejskiej, która może sprzeciwić się jej udzieleniu. Wyjątki w tym zakresie przewidziane zostały w art. 107 ust. 2 i 3 Traktatu o funkcjonowaniu Unii Europejskiej.

Przyznanie ulgi, która nie stanowi pomocy publicznej, następować będzie zatem w tym przypadkach, gdy jej udzielenie nie ma wpływu na wymianę handlową między państwami członkowskimi UE. Będzie to miało miejsce, gdy dany podmiot prowadzi działalność o charakterze lokalnym, a otrzymana pomoc nie zaburzy mechanizmów rynku wewnętrznego (nie będzie wpływała na konkurencyjność przedsiębiorstw na nim działających).

Ulga będzie stanowić pomoc de minimis, gdy udzielenie ulgi danemu przedsiębiorcy mogłoby być kwalifikowane jako udzielenie mu pomocy publicznej, ale łączna kwota takiej pomocy, w trzech kolejnych latach, nie przekroczy kwoty 200 tys. euro. Mimo że jest to rodzaj pomocy publicznej, to z uwagi na jej niewielką wartość nie podlega restrykcyjnym wymogom przyznawania pomocy publicznej.

• Przekroczenie dopuszczalnego poziomu pomocy. Uwzględniając możliwą wysokość administracyjnej kary pieniężnej, jaka może zostać nałożona na przedsiębiorcę przez prezesa UODO, stwierdzić należy, że udzielenie ewentualnej ulgi w jej spłacie może niekiedy przekroczyć dopuszczalny poziom pomocy de minimis. Zaistnienie takiej okoliczności jest realne także w innym przypadku. Mianowicie, gdy dany podmiot w ostatnich trzech latach wykorzystał już limit pomocy de minimis. W tego typu sytuacji przyznanie jakiejkolwiek ulgi, nawet o niewielkiej wartości, może prowadzić do konieczności przeprowadzenia procedury notyfikacji.

Wyjściem dla wnioskodawcy może być w takim przypadku wykazanie, że udzielona mu ulga nie będzie stanowiła pomocy publicznej, np. z uwagi na niewielki i lokalny zakres prowadzonej przez niego działalności gospodarczej. Jeżeli organ nadzorczy podzieli tę argumentację, to będzie mógł przyznać ulgę bez konieczności wszczynania procedury w zakresie pomocy publicznej.

Na marginesie należy dodać, że przedsiębiorcy, którzy wykorzystali limit pomocy de minimis jedynie częściowo, mogą występować o przyznanie pomocy w zakresie, który nie spowoduje przekroczenia przywołanego powyżej limitu. Szczegółowe zasady obliczania wartości pomocy publicznej, w tym pomocy de minimis, w przypadku udzielenia ulgi w postaci odroczenia terminu płatności albo rozłożenia należności na raty, zostały określone w rozporządzeniu Rady Ministrów z 11 sierpnia 2004 r. w sprawie szczegółowego sposobu obliczania wartości pomocy publicznej udzielanej w różnych formach (t.j. Dz.U. z 2018 r. poz. 461 ze zm.).

Ponadto jeżeli przedsiębiorca występuje o przyznanie mu ulgi w zapłacie kary finansowej, która stanowić będzie pomoc de minimis, zobowiązany jest dołączyć do wniosku również:

– formularz informacji przedstawianych przy ubieganiu się o pomoc de minimis – według wzoru stanowiącego załącznik nr 1 do rozporządzenia Rady Ministrów z 29 marca 2010 r. w sprawie zakresu informacji przedstawianych przez podmiot ubiegający się o pomoc de minimis (Dz.U. nr 53, poz. 311 ze zm.),

– sprawozdania finansowe za okres trzech ostatnich lat obrotowych sporządzane zgodnie z przepisami o rachunkowości,

– zaświadczenia o przyznanej wnioskodawcy pomocy de minimis, jaką otrzymał w roku, w którym ubiega się o pomoc, oraz w ciągu dwóch poprzedzających go lat, albo oświadczenia o wielkości pomocy de minimis otrzymanej w tym okresie, albo oświadczenia o nieotrzymaniu takiej pomocy w tym okresie.

Postępowanie w przedmiocie udzielenia pomocy publicznej, w tym pomocy de minimis, zostało uregulowane w ustawie z 30 kwietnia 2004 r. o postępowaniu w sprawach dotyczących pomocy publicznej (t.j. Dz.U. z 2018 r. poz. 362).

Na marginesie należy wskazać, że w ocenie ustawodawcy wprowadzona na podstawie ww. przepisu ulga może spełniać przesłanki pomocy publicznej określone w art. 107 ust. 1 TFUE, gdyż: może powodować uszczuplenie dochodów państwa, ma charakter selektywny (skierowana jest do określonych podmiotów), może stanowić dla zgłaszających korzyść, której nie uzyskaliby w normalnych warunkach rynkowych, a także – jako że wśród beneficjentów tej ulgi znajdują się przedsiębiorcy działający na rynkach otwartych na konkurencję – może zakłócić lub grozić zakłóceniem konkurencji i wpłynąć na wymianę handlową między państwami członkowskimi UE (zob. uzasadnienie do projektu ustawy o ochronie danych osobowych).

Powyższy pogląd stanowiący formę wykładni autentycznej komentowanego aktu prawnego może stanowić istotną wskazówkę w odniesieniu do sposobu konstruowania wniosku o udzielenie przedmiotowej ulgi. W szczególności dla tych spośród przedsiębiorców, którzy wykazywać będą, że przyznanie im ulgi nie będzie stanowiło pomocy publicznej. [wzór 2]

wzór 2

Kraków, 10 grudnia 2018 r.

Prezes Urzędu

Ochrony Danych Osobowych

Wnioskodawca:

Jan Kowalski

zam. w Krakowie przy ul. Krakowskiej 1

sygn. akt postępowania, w którym

nałożono administracyjną karę pieniężną: UOD/AKP/100/2018

Wniosek o rozłożenie

administracyjnej kary pieniężnej na raty

Działając w imieniu własnym, na podstawie art. 105 ust. 2 i 3 ustawy z 10 maja 2018 r. o ochronie danych osobowych, wnoszę o rozłożenie administracyjnej kary pieniężnej nałożonej na mnie decyzją administracyjną prezesa Urzędu Ochrony Danych Osobowych z 15 listopada 2018 r. w sprawie o sygn. akt UOD/AKP/100/2018 na:

– dwadzieścia cztery równe raty po 500 euro każda,

– płatnych miesięcznie od miesiąca następującego po miesiącu wydania postanowienia o rozłożeniu ww. należności na raty,

z uwagi na ważny interes wnioskodawcy.

Uzasadnienie wniosku

Wskazaną decyzją administracyjną z 15 listopada 2018 r. prezes Urzędu Ochrony Danych Osobowych nałożył na mnie administracyjną karę pieniężną w wysokości 12 000 euro w przeliczeniu na złote po kursie z 28 stycznia 2018 r. Kara została nałożona z uwagi na naruszenie przeze mnie przepisów ogólnego rozporządzenia o ochronie danych w zakresie ujawnienia danych osobowych klientów osobie trzeciej bez podstawy prawnej. Ze względu na jednoznaczność okoliczności faktycznych i prawnych sprawy nie wnosiłem skargi na ww. decyzję administracyjną prezesa Urzędu Ochrony Danych Osobowych wydaną w przedmiocie nałożenia na mnie tejże kary finansowej.

W moim domu, w którym prowadziłem również działalność gospodarczą, 26 listopada doszło do pożaru. Sprzęt i oprogramowanie, za pomocą których wykonywałem pracę, uległy zniszczeniu. Nie miałem ubezpieczenia w tym zakresie. Z uwagi na powyższe kilka dni później zdecydowałem o zakończeniu prowadzenia działalności gospodarczej. Obecnie utrzymuję się z przyznanej mi wcześniej renty, nie posiadam innego źródła utrzymania. Posiadane oszczędności przeznaczyłem na remont domu, w którym zamieszkuję wraz z rodziną. Planuję podjąć się wykonywania dorywczych zleceń w celu uzyskania dodatkowego dochodu.

Z uwagi na wyżej opisane okoliczności nie jestem w stanie uiścić jednorazowo nałożonej na mnie administracyjnej kary pieniężnej. Co więcej, okoliczności te były nieprzewidziane i pozbawiły mnie nie tylko środków na zapłatę kary finansowej, lecz także bieżącego źródła utrzymania w postaci prowadzonej dotychczas działalności gospodarczej. Zwracam się zatem o uwzględnienie mojego wniosku.

Ze względu na to, że nie prowadzę obecnie działalności gospodarczej, udzielenie mi ulgi w zapłacie kary pieniężnej nie będzie stanowiło pomocy publicznej państwa dla przedsiębiorstw. Z uwagi na powyższe nie dołączam do niniejszego wniosku dokumentacji finansowej prowadzonej uprzednio działalności gospodarczej, a także formularza wymaganego dla pomocy de minimis.

Załączniki:

– dowody potwierdzające okoliczności wskazane we wniosku.

Jan Kowalski

©℗

Art. 106. [Wyłączenie niektórych przepisów k.p.a.]

Przepisów art. 189d–189f i art. 189k ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego nie stosuje się.

komentarz

• Zakres wyłączenia. Ze względu na uregulowanie znacznej części materii związanej z administracyjnymi karami pieniężnymi nakładanymi przez prezesa UODO w przepisach RODO oraz komentowanej ustawy, konieczne stało się wyłączenie stosowania niektórych przepisów kodeksu postępowania administracyjnego. Wyłączone mocą art. 106 u.o.d.o. przepisy kodeksu określają bowiem:

– przesłanki wymierzania administracyjnej kary pieniężnej (art. 189d k.p.a.),

– przypadek siły wyższej (art. 189e k.p.a.),

– przypadki, w których organ uprawniony jest do odstąpienia od nałożenia administracyjnej kary pieniężnej (art. 189f k.p.a.),

– ulgi w wykonywaniu administracyjnej kary pieniężnej (art. 189k k.p.a.).

• Obowiązujące przepisy k.p.a. dotyczące kar. Zastosowanie do kar finansowych nakładanych przez prezesa UODO znajdą zatem, w szczególności, art. 189b k.p.a. oraz art. 189g–189j k.p.a.

Pierwszy z nich zawiera ustawową definicję administracyjnej kary pieniężnej. Kolejne zaś regulują niezwykle istotne kwestie, jakimi są:

– przedawnienie możliwości nałożenia kary pieniężnej (art. 189g k.p.a.),

– przerwanie i zawieszenie biegu terminu ww. przedawnienia (art. 189h k.p.a.),

– zaległą administracyjną karę pieniężną (art. 189i k.p.a.),

– przedawnienie egzekucji administracyjnej kary pieniężnej (art. 189j k.p.a.).

Odsyłając w zakresie szczegółowych rozwiązań ww. kwestii do przepisów kodeksu postępowania administracyjnego, należy zasygnalizować najważniejsze zasady wynikające z wyżej wymienionych przepisów. Mają one bowiem znaczenie również w odniesieniu do administracyjnych kar pieniężnych nakładanych przez prezesa UODO na mocy RODO. Zasady te są następujące:

– administracyjna kara pieniężna nie może zostać nałożona, jeżeli upłynęło pięć lat od dnia naruszenia prawa albo wystąpienia skutków naruszenia prawa;

– administracyjna kara pieniężna nie podlega egzekucji, jeżeli upłynęło pięć lat od dnia, w którym kara powinna być wykonana;

– bieg terminu przedawnienia nałożenia administracyjnej kary pieniężnej, a także przedawnienia egzekucji administracyjnej kary pieniężnej, przerywa ogłoszenie upadłości strony;

– bieg terminu przedawnienia nałożenia administracyjnej kary pieniężnej nie rozpoczyna się, a rozpoczęty ulega zawieszeniu, m.in. z dniem wniesienia środka zaskarżenia od decyzji w przedmiocie administracyjnej kary pieniężnej do sądu administracyjnego albo sądu powszechnego, albo skargi kasacyjnej od prawomocnego orzeczenia w przedmiocie administracyjnej kary pieniężnej; w takim przypadku przedawnienie rozpoczyna się, a po zawieszeniu biegnie dalej, od dnia następującego po dniu uprawomocnienia się orzeczenia sądu administracyjnego albo sądu powszechnego właściwego do rozpoznania odwołania od decyzji w przedmiocie administracyjnej kary pieniężnej, albo odmowy przyjęcia skargi kasacyjnej do rozpoznania przez Sąd Najwyższy, oddalenia skargi kasacyjnej albo uchylenia przez SN zaskarżonego wyroku i orzeczenia co do istoty sprawy;

– bieg terminu przedawnienia egzekucji administracyjnej kary pieniężnej nie rozpoczyna się, a rozpoczęty ulega przerwaniu z dniem zastosowania środka egzekucyjnego, o którym zobowiązany został zawiadomiony, albo doręczenia zarządzenia zabezpieczenia w trybie przepisów o postępowaniu egzekucyjnym w administracji; w takich przypadkach bieg terminu przedawnienia egzekucji administracyjnej kary pieniężnej rozpoczyna się, a po przerwaniu biegnie na nowo, od dnia następującego po dniu, w którym zastosowano środek egzekucyjny, o którym zobowiązany został zawiadomiony albo doręczono zarządzenie zabezpieczenia w trybie przepisów o postępowaniu egzekucyjnym w administracji.

• Skutki wniesienia skargi. Jak wynika z powyższego, wniesienie skargi do sądu administracyjnego na decyzję prezesa UODO wydaną w przedmiocie nałożenia administracyjnej kary pieniężnej nie tylko wstrzymuje jej wykonanie, lecz także zawiesza bieg terminu przedawnienia nałożenia administracyjnej kary pieniężnej. Dzięki temu, w przypadku prawomocnego uchylenia zaskarżonej decyzji przez sąd administracyjny, organ nadzorczy – po ponownym przeprowadzeniu postępowania – może ją nałożyć. Okres postępowania sądowo-administracyjnego mógłby bowiem doprowadzić do upływu pięcioletniego okresu, po którym nie jest możliwe nałożenie kary finansowej.

Na zakończenie rozróżnić należy dwie odrębne instytucje, którymi ustawodawca posłużył się w ww. przepisach, a którymi są: zawieszenie biegu terminu przedawnienia oraz przerwanie biegu terminu przedawnienia.

W przypadku zawieszenia biegu terminu przedawnienia – nie biegnie on przez okres zawieszenia, a po jego zakończeniu biegnie dalej. Czyli przykładowo: jeżeli zawieszenie biegu terminu przedawnienia nastąpiło po trzech latach od dnia naruszenia prawa, to po zakończeniu okresu zawieszenia pozostaje jeszcze dwa lata do przedawnienia, i to niezależnie od tego, jak długo trwał okres zawieszenia biegu terminu.

Natomiast w przypadku przerwania biegu terminu przedawnienia termin ten rozpoczyna swój bieg na nowo (od początku). Czyli wracając do naszego przykładu: jeżeli przerwanie biegu terminu przedawnienia nastąpiłoby po trzech latach od dnia naruszenia prawa, to po wystąpieniu zdarzenia, które przerwało bieg terminu przedawnienia, rozpocznie swój bieg pięcioletni okres przedawnienia, liczony od dnia wskazanego w ustawie (np. od dnia następującego po dniu, w którym zastosowano środek egzekucyjny, o którym zobowiązany został zawiadomiony).

Różnica w obu przypadkach jest zatem znacząca, o czym należy pamiętać. Konsekwencje zawieszenia biegu terminu przedawnienia oraz jego przerwania są bowiem diametralnie odmienne.

Art. 107. [Przepisy karne]

1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

komentarz

• Minimalistyczne podejście ustawodawcy. Po zestawieniu przepisów karnych ze starej ustawy o ochronie danych osobowych (z 29 sierpnia 1997 r.) z przepisami obecnymi należy zgodzić się z ustawodawcą, że generalnym celem projektodawcy było nierozbudowywanie przepisów karnych. W jego zamyśle głównym rodzajem sankcji za naruszenie przepisów o ochronie danych osobowych mają bowiem być administracyjne kary pieniężne. Odpowiedzialność karna ma jedynie uzupełniać owe sankcje – i to tylko w przypadku najcięższych naruszeń prawa. Takie naruszenia wskazano w art. 107 i 108 u.o.d.o.
• Nielegalne przetwarzanie danych osobowych. W komentowanym art. 107 u.o.d.o. penalizacji poddano czyny polegające na nielegalnym przetwarzaniu danych osobowych. Ustawodawca dokonał przy tym rozróżnienia na:

– nielegalne przetwarzanie zwykłych danych osobowych (ust. 1) oraz

– przetwarzanie bez podstawy prawnej danych osobowych szczególnych kategorii (ust. 2).

W przypadku przestępstwa wskazanego w ust. 2 przewidziano kary surowsze, kara pozbawienia wolności może bowiem zostać nałożona w wymiarze do lat trzech, tj. o rok dłuższym niż w przypadku przestępstwa opisanego w ust. 1.

• Przetwarzanie bez podstawy prawnej. Odpowiedzialności karnej, na mocy komentowanych przepisów, podlega przetwarzanie danych osobowych bez podstawy prawnej. Czyn taki może wynikać z niedopuszczalności przetwarzania określonych kategorii danych osobowych albo też z braku uprawnienia do ich przetwarzania po stronie sprawcy. Pierwszy przypadek może wystąpić zwłaszcza w odniesieniu do szczególnych kategorii danych osobowych, o których mowa w art. 9 i 10 RODO. Jak bowiem z nich wynika:

– zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby (art. 9 ust. 1 RODO); wyjątki od tego zakazu wymienione zostały w art. 9 ust. 2–4 RODO; jeżeli zatem dany podmiot nie spełnia chociażby jednej z przesłanek uprawniających go do przetwarzania ww. kategorii danych osobowych, to musi liczyć się z możliwością uznania, że popełnia omawiane przestępstwo;

– przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 RODO wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem UE lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą; wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych (art. 10 RODO).

W przypadku zatem niewypełnienia warunków przetwarzania opisanych w niniejszym artykule ogólnego rozporządzenia o ochronie danych, dojść może do popełnienia omawianego przestępstwa. Pamiętać jednakże należy, że zakres penalizacji objętej komentowanym artykułem jest znacznie szerszy. Znajdą się w nim także wszelkie przypadki, w których podmiot uczestniczący w przetwarzaniu danych nie legitymuje się przesłanką legalizującą przetwarzanie. Przypomnijmy, że w odniesieniu do zwykłych danych osobowych przesłanki te zamieszczono w art. 6 ust. 1 RODO, w odniesieniu zaś do szczególnych kategorii danych osobowych w art. 9 ust. 2 RODO. Przesłanki te zestawiono w tabeli. [tabela 2]

Tabela 2

Przesłanki przetwarzania danych osobowych ©℗

Przetwarzanie danych osobowych zwykłych (art. 6 ust. 1 RODO) dopuszczalne jest, gdy:

Przetwarzanie danych osobowych szczególnych (art. 9 ust. 2 RODO) dopuszczalne jest, gdy:

a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo UE lub prawo państwa członkowskiego przewidują, że osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania danych osobowych; b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem UE lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą; c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą; e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy; g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa UE lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą; h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa UE lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 9 ust. 3 RODO; i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa UE lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową; j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa UE lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

• Wygaśnięcie przesłanek. Pamiętać także należy, że przetwarzanie danych osobowych podlega ograniczeniom czasowym. Początkowe istnienie przesłanki uprawniającej dany podmiot do wykorzystywania danych osobowych konkretnej osoby fizycznej nie oznacza, iż podmiot ten zwolniony jest z późniejszej weryfikacji istnienia tejże przesłanki. Co więcej, w przypadku gdy dana przesłanka wygaśnie, a podmiot ten nie będzie dysponował inną przesłanką legalnego przetwarzania danych, także i jemu będzie można zarzucić przetwarzanie danych osobowych bez podstawy prawnej. [ramka]

Wygaśnięcie przesłanek przetwarzania danych osobowych

Do sytuacji takich dojdzie m.in. w następujących przypadkach:

1. Po cofnięciu zgody – gdy przesłanką przetwarzania danych osobowych była zgoda. Wyjaśnić należy, że osoba, której dane dotyczą, uprawniona jest do cofnięcia zgody w każdym czasie. Nie ma to wszakże wpływu na wcześniejsze legalne przetwarzanie danych osobowych. Innymi słowy, okres w którym administrator danych dysponował zgodą osoby, której dane dotyczą, uznaje się za okres legalnego przetwarzania tychże danych, nawet jeżeli zgoda ta zostanie w czasie późniejszym cofnięta.

2. Po wniesieniu sprzeciwu – w przypadku, gdy przesłanką przetwarzania była niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (przykładem takich sytuacji może być marketing własnych towarów lub usług, a także dochodzenie lub obrona przed roszczeniami). W przypadku gdy administrator korzysta z tej przesłanki przetwarzania danych osobowych, osoba, której dane dotyczą, może wnieść sprzeciw. Co ważne, sprzeciw wniesiony w zakresie przetwarzania danych osobowych na cele marketingu bezpośredniego powoduje, że administrator danych nie może dalej przetwarzać danych osoby wnoszącej sprzeciw.

3. Po zakończeniu umowy – w przypadku gdy przesłanką było uznanie, że przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Przesłanka ta odpadnie wraz z wykonaniem umowy bądź zakończeniem czynności przed jej zawarciem, gdy finalnie nie doszło do podpisania umowy między stronami. ©℗

• Zmiana postawy przetwarzania. Wygaśnięcie jednej przesłanki nie musi oznaczać, że podmiot przetwarza dane osobowe w sposób niezgodny z prawem (bez podstawy prawnej). W wielu przypadkach bowiem podmiot ten będzie mógł powołać się na inną przesłankę. [przykład 1, s. C8]

• Obowiązki administratora w przypadku zmiany podstawy przetwarzania. Należy jednak pamiętać, że zmiana przesłanki przetwarzania danych osobowych może się wiązać z dalszymi obowiązkami dla administratora danych. Przede wszystkim, jeżeli w pierwotnej informacji o przetwarzaniu danych osobowych nie wskazał on również aktualnego celu przetwarzania, ma obowiązek poinformować o tym fakcie osobę, której dane dotyczą. Dlatego też rozwiązaniem praktykowanym obecnie przez znaczą część przedsiębiorców jest wskazywanie w tej informacji wszystkich przesłanek, celów i okresów przetwarzania danych osobowych. W takim wypadku bowiem nie jest konieczne aktualizowanie tej informacji, gdy jedna z uprzednio wymienionych przesłanek odpadła. [wzór 3]

wzór 3

Informacja o celach przetwarzania danych oraz podstawie prawnej przetwarzania

Cele przetwarzania Państwa danych osobowych oraz podstawy prawne przetwarzania są następujące:

• art. 6 ust. 1 lit. a RODO – w przypadku wyrażenia zgody na przetwarzanie danych osobowych, w celu oraz zakresie, w jakim wyrazili Państwo zgodę, oraz do czasu zrealizowania tego celu albo cofnięcia przez Państwa zgody, w zależności od tego, które ze zdarzeń nastąpi wcześniej;

• art. 6 ust. 1 lit. b RODO – w przypadku podejmowania na Państwa żądanie czynności przed zawarciem umowy, a także w związku z realizacją umowy, Państwa dane osobowe przetwarzane będą w tym celu do czasu zakończenia czynności podejmowanych na Państwa żądanie albo do czasu wykonania umowy;

• art. 6 ust. 1 lit. c RODO – w związku z obowiązkiem przechowywania dokumentacji podatkowej Państwa dane osobowe przetwarzane będą w tym celu do czasu przedawnienia zobowiązania podatkowego oraz obowiązków wynikających z innych przepisów prawa powszechnie obowiązującego;

• art. 6 ust. 1 lit. f RODO – w związku z przetwarzaniem danych osobowych na potrzeby związane z dochodzeniem roszczeń oraz obroną przed roszczeniami przez każdą ze stron Państwa dane osobowe przetwarzane będą w tym celu do czasu ich przedawnienia;

• art. 6 ust. 1 lit. f RODO – w związku z przetwarzaniem danych osobowych na cele marketingu bezpośredniego własnych towarów i usług administratora danych Państwa dane osobowe przetwarzane będą w tym celu do czasu zakończenia działań marketingowych albo wniesienia sprzeciwu względem przetwarzania danych osobowych na ten cel, w zależności od tego, które ze zdarzeń nastąpi wcześniej. ©℗

Ponadto administrator danych musi pamiętać o podstawowych zasadach przetwarzania danych osobowych, którymi są m.in.: zasada minimalizacji danych oraz zasada ograniczenia przechowywania. Wynika z nich po pierwsze to, że dane osobowe mogą być gromadzone jedynie w zakresie niezbędnym do celów, dla których są zbierane. Administrator danych nie powinien zatem pozyskiwać dodatkowych informacji, które nie są konieczne do osiągnięcia danego celu (np. realizacji umowy). Zgodnie zaś z drugą ze wskazanych zasad dane osobowe mogą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane. [przykład 2, s. C8]

• Odpowiedzialność podmiotu przetwarzającego. Odpowiedzialność karna wynikająca z omawianego artykułu dotyczy nie tylko administratora danych. Podstawę prawną przetwarzania danych musi mieć także podmiot przetwarzający. W jego przypadku będzie ją stanowiła zawarta z administratorem danych umowa powierzenia danych osobowych do przetwarzania względnie inny instrument prawny (np. upoważnienie wynikające z aktu normatywnego). Umowa taka wskazuje bowiem przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora danych i podmiotu przetwarzającego.

przykład 1

Gdy wygaśnie jedna przesłanka, można ją zastąpić inną

Osoba fizyczna zwróciła się do przedsiębiorcy z pytaniem o koszt wykonania usługi. Po przeprowadzeniu rozmów między stronami doszło do zawarcia umowy. Po wykonaniu usługi przedsiębiorca wystawił klientowi fakturę VAT. Ponadto przy pierwszym kontakcie przekazał klientowi klauzulę informacyjną, w której wskazał na cele i podstawy prawne przetwarzania przezeń danych osobowych.

W takiej sytuacji podstawy, cele oraz okresy przetwarzania danych osobowych mogą być następujące:

• w okresie przed zawarciem umowy, do momentu jej zawarcia – podstawę stanowi przesłanka podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,

• w okresie od zawarcia umowy do jej wykonania – podstawę stanowi niezbędność do wykonania umowy,

• po wykonaniu umowy do czasu przedawnienia roszczeń – podstawę stanowi niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora,

• po wykonaniu umowy do czasu wynikającego z przepisów podatkowych – podstawę prawną przechowywania faktur i rachunków oraz dokumentów potwierdzających wykonanie usługi stanowi obowiązek prawny ciążący na administratorze danych,

• od momentu przekazania informacji o przetwarzaniu danych osobowych, o której mowa w art. 13 RODO, do czasu wniesienia sprzeciwu – przedsiębiorca może przetwarzać dane osobowe klienta na cele marketingu bezpośredniego.

przykład 2

Zbędne dane należy usunąć

Na potrzeby realizacji umowy z klientem zebrano wiele danych osobowych różnych kategorii. Część ze zgromadzonych danych wykorzystywana była wyłącznie do wykonania umowy. Dane te nie są natomiast niezbędne w innych celach, tj. wypełnienia obowiązku administratora danych wynikającego z przepisów podatkowych, dochodzenia i obrony przed roszczeniami, a także do celów marketingu bezpośredniego. Po zakończeniu umowy owe zbędne na inne cele dane osobowe powinny zostać usunięte. ©℗

Dopóki podmiot przetwarzający przetwarza dane osobowe w zakresie dozwolonym przez umowę zawartą z administratorem danych bądź wynikającym z innego instrumentu prawnego, dopóty przetwarza je w sposób legalny.

• Wykroczenie poza umowę przetwarzania. Co ciekawe, samo wykroczenie poza ramy umowy powierzenia nie będzie automatycznie przesądzało o nielegalności przetwarzania danych osobowych przez taki podmiot.

W zakresie takim, tj. nieprzewidzianym w umowie zawartej z administratorem, podmiot przetwarzający sam stanie się administratorem tychże danych osobowych. Aby zatem wykazać się legalnością przetwarzania danych osobowych, musi on spełnić chociażby jedną z ww. przesłanek przetwarzania danych osobowych, o których mowa w art. 6 ust. 1 albo art. 9 ust. 2 RODO. Dopiero brak takiej przesłanki po stronie wskazanego podmiotu świadczyć będzie o tym, że przetwarza on dane osobowe bez podstawy prawnej. Sytuacja taka natomiast wypełniać może znamiona przestępstwa opisanego w komentowanym artykule.

Powyższe uwagi należy odnieść także do wszystkich innych podmiotów uczestniczących w procesie przetwarzania danych osobowych. Dane osobowe muszą być bowiem przetwarzane zgodnie z prawem. Każdy podmiot gromadzący bądź chociażby jedynie przechowujący dane osobowe musi mieć do tego stosowne uprawnienie, które wywodzić się będzie z przepisu prawa albo umowy.

• Pośrednie gromadzenie danych. Na marginesie należy wskazać, że fakt pośredniego zgromadzenia danych osobowych, tj. od podmiotu niebędącego osobą, której dane dotyczą, bądź ze źródła powszechnie dostępnego, nie oznacza nielegalności przetwarzania danych osobowych. Podmiot taki ma obowiązek poinformować osobę, której dane dotyczą, o przetwarzaniu jej danych osobowych, wskazując informacje wymagane przez art. 14 RODO. Również w tym przypadku taki administrator danych musi wskazać podstawę prawną, cel oraz przewidywany okres przetwarzania danych osobowych.
• Orzekanie w sprawach przestępstw. Orzekanie w sprawach przestępstw opisanych w art. 107 i 108 u.o.d.o. będzie odbywać się na podstawie norm kodeksu karnego oraz kodeksu postępowania karnego. Czyny opisane w wyżej wymienionych artykułach stanowią bowiem przestępstwa, a nie wykroczenia.
• Przepisy zawarte w innych aktach prawnych. Wskazać także należy, na co zwrócono uwagę już w treści uzasadnienia do projektu niniejszej ustawy, że naruszenie przepisów o ochronie danych może stanowić czyn realizujący znamiona określone w ustawie z 6 czerwca 1997 r. – Kodeks karny (t.j. Dz.U. z 2018 r. poz. 1600 ze zm.; dalej: k.k.), np. w rozdziale XXXIII „Przestępstwa przeciwko ochronie informacji”. Przykładowo można wskazać na następujące występki unormowane w tymże rozdziale:

– uzyskanie dostępu do informacji bez uprawnienia (art. 267 k.k.),

– udaremnianie lub znaczne utrudnianie osobie uprawnionej zapoznania się z danymi (art. 268 k.k.),

– niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych albo zakłócanie w istotnym stopniu lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania takich danych bez uprawnienia (art. 268a k.k.).

Art. 108. [Udaremnianie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych]

Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

komentarz

• Przestępstwa związane z instytucją kontroli. Drugim i zarazem ostatnim czynem niedozwolonym, który podlega odpowiedzialności karnej na gruncie u.o.d.o., jest udaremnianie bądź utrudnianie przeprowadzania kontroli na gruncie przepisów tego aktu prawnego. Kontrola, o której mowa w komentowanym artykule, została uregulowana w rozdziale 9 u.o.d.o. (art. 78–91) oraz szczegółowo omówiona w komentarzach do tych jednostek redakcyjnych.

W tym miejscu zwrócić należy uwagę na inne regulacje odwołujące się do trudności stawianych przez kontrolowanego osobie przeprowadzającej kontrolę. Przede wszystkim prezes UODO uprawniony jest do wystąpienia do właściwego miejscowo komendanta policji o pomoc, jeżeli jest to niezbędne do wykonywania czynności kontrolnych. Nawet zatem opór stawiany przez kontrolowanego może finalnie nie zniweczyć kontroli. Sam kontrolowany zaś musi liczyć się z postawieniem mu zarzutu wynikającego z art. 108 u.o.d.o. Penalizacji podlega bowiem nie tylko samo udaremnienie kontroli, lecz także utrudnianie kontrolującemu jej przeprowadzenia.

• Udaremnianie kontroli. Sytuacja udaremnienia przeprowadzenia kontroli nie powinna budzić większych wątpliwości: jest to bowiem przypadek, w którym na skutek zachowania się kontrolowanego nie było możliwe przeprowadzenie kontroli.
• Utrudnianie kontroli. Szerszego wyjaśnienia wymaga drugie z penalizowanych zdarzeń, czyli utrudnienie kontroli. Zakresem tym należy objąć wszelkie zachowania – a zatem zarówno działania, jak i zaniechania – kontrolowanego, które stanowią przeszkody w sprawnym i szybkim przeprowadzeniu kontroli. Jako przykład można wskazać na następujące zachowania kontrolowanego:

– niewpuszczenie kontrolującego na teren objęty kontrolą, jeżeli kontrolujący finalnie uzyskał dostęp w asyście policji,

– próby niszczenia dokumentów, które udało się odtworzyć,

– próby wpływania na świadków i pracowników, aby nie składali zeznań bądź składali zeznania korzystne dla kontrolowanego,

– składanie fałszywych wyjaśnień bądź dokumentów,

– ukrycie nośników danych lub urządzeń, które udało się odnaleźć bądź dane na nich zapisane odtworzyć z innych źródeł,

– odmowa sporządzenia kopii lub wydruków dokumentów wskazanych przez kontrolującego czy też odmowa poświadczenia tychże wydruków i dokumentów za zgodność z oryginałem.

Powyżej wskazano jedynie przykłady działań, jakie mogą być podejmowane przez kontrolowanego z zamiarem udaremnienia albo co najmniej utrudnienia przeprowadzenia kontroli.

• Przestępstwa spenalizowane w kodeksie karnym. Co ważne, jak można to stwierdzić już na podstawie tego krótkiego katalogu, decydując się na tego typu działania, kontrolowany może narazić się na zarzuty popełnienia dalszych przestępstw penalizowanych przez kodeks karny. Mowa tu chociażby o fałszerstwie dokumentów bądź groźbach karalnych kierowanych do świadków i pracowników, a także o przestępstwie składania fałszywych zeznań. O ile zatem występek, o którym mowa w komentowanym artykule, zagrożony jest karą pozbawienia wolności do lat dwóch, o tyle np. za przestępstwo składania fałszywych zeznań przewidziano karę pozbawienia wolności od sześciu miesięcy do ośmiu lat. Faktyczna odpowiedzialność kontrolowanego za czyny związane z udaremnianiem lub utrudnianiem przeprowadzenia kontroli może być zatem zdecydowanie większa, niż mogłoby to wynikać z lektury art. 108 u.o.d.o. Będzie ona wynikać nie tylko z popełnienia czynu zabronionego, lecz także z innych czynów karalnych, których kontrolowany może dopuścić się w celu osiągnięcia efektu mającego polegać na udaremnieniu albo utrudnieniu przeprowadzenia kontroli.
• Sankcje finansowe. Próby udaremniania lub utrudniania kontroli przestrzegania przepisów o ochronie danych osobowych mogą wiązać się dla kontrolowanego również z sankcjami finansowymi. Przypomnieć należy, że w RODO zamieszczono katalog przesłanek łagodzących bądź zaostrzających wymiar administracyjnej kary pieniężnej, jaka może zostać nałożona przez prezesa UODO (zob. komentarz do art. 101 u.o.d.o.). Wśród tych przesłanek znalazły się także następujące: umyślny lub nieumyślny charakter naruszenia, stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Negatywne zachowanie się kontrolowanego w czasie przeprowadzania kontroli będzie miało zatem bezpośredni wpływ na warunki nakładania kary finansowej przez krajowy organ nadzorczy. Prezes UODO bierze je pod uwagę zarówno określając wysokość administracyjnych kar pieniężnych, jak i podejmując samą decyzję o ich nałożeniu. O ile zatem współpraca z kontrolującym może przynieść korzystny efekt dla kontrolowanego, o tyle zachowania opisane powyżej sytuację kontrolowanego znacznie pogarszają.

Podsumowując: kontrolowanego, który narusza przepisy, może spotkać zarówno sankcja karna – w postaci jednej z kar wskazanych w komentowanym przepisie, jak i sankcja administracyjna – w postaci zaostrzonej kary pieniężnej.

Rozdział 12

Zmiany w przepisach

Art. 109–157 (pominięto)

Rozdział 13

Przepisy przejściowe i dostosowujące

Art. 158–174 (pominięto)

Rozdział 14

Przepisy końcowe

Art. 175 i 176 (pominięto)

©℗