Stosowanie regulacji karnej do przetwarzania nieobjętego zakresem zastosowania rodo

Zgodnie z art. 107 ustawy o ochronie danych osobowych (dalej: uodo) karze podlega ten, kto przetwarza dane osobowe w sytuacji gdy jest to niedopuszczalne, albo co do których przetwarzania nie jest uprawniony. Sankcjonuje więc nielegalne przetwarzanie danych osobowych, z tą różnicą w stosunku do dawnego stanu prawnego, że obecnie również poza zbiorem.

Art. 107. [Nielegalne przetwarzanie danych osobowych]
1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony,podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Zwrot „kto przetwarza” zazwyczaj świadczy o przestępstwie powszechnym, tj. takim które może popełnić każdy. Nie musi więc mieć statusu administratora, czyli podmiotu który dla celów profesjonalnych (przeciwieństwo osobistych lub domowych) przetwarza dane osobowe. Nie musi też mieć statusu procesora, również profesjonalisty (gdyby nim nie był, nie spełniłby wymogów jakie rodo stawia procesorowi, musiałby działać na upoważnieniu w ramach infrastruktury administratora), który z polecenia administratora przetwarza dane w jego imieniu i dla realizacji jego celów. Procesor, który wykracza poza polecenie administratora i w ten sposób narusza rodo, sam staje się administratorem, chyba że wykracza w celach osobistych, jeśli procesorem jest osoba fizyczna (art. 28 ust. 10 w zw. z art. 4 pkt 7 w zw. z art. 2 ust. 2 lit. c rodo). Osoba prawna nie może mieć celu osobistego, ale taki cel może mieć osoba fizyczna piastująca funkcję organu osoby prawnej – również taka osoba działając w celu osobistym, nie stanie się administratorem. Podobnie osoba działająca na podstawie upoważnienia, jeśli zacznie przetwarzać dane w celach osobistych nie stanie się administratorem, ponieważ administrator jest pojęciem funkcjonującym na podstawie rodo, a rodo stosuje się do przetwarzania profesjonalnego, nie zaś w celach osobistych. Nie można więc twierdzić, że pracownik działu HR, który napisał list miłosny na adres, który znalazł w CV, a przy tym nie załączył klauzuli informacyjnej, naruszył obowiązek z art. 14 rodo, ponieważ nie ma on obowiązków jakie rodo kładzie na administratorów, chociaż zdecydował o celu i sposobie przetwarzania danych, do których miał dostęp w ramach obowiązków służbowych. Inaczej należałoby ocenić sytuację, jeśli by ten pracownik zaczął wysyłać informacje handlowe dotyczące swoich produktów i usług (cel komercyjny, profesjonalny), zamiast listów miłosnych – wtedy taki proces podlega obowiązkom wynikającym z rodo, a brak klauzuli jest jednym z mniejszych naruszeń, bo zasadniczym jest brak podstawy legalizacyjnej przetwarzania (nie można mówić o nielegalnej zmianie celu, bo pracownik nigdy nie będąc administratorem, nigdy nie miał własnego celu przetwarzania). Legalność przetwarzania administratora jest oceniana na podstawie art. 6, 9 oraz 10 rodo.

Patrząc jednak na art. 1 uodo, trzeba stwierdzić, że przestępstwa o którym mowa w art. 107 uodo można dokonać tylko w przypadku przetwarzania do którego stosuje się rodo, a więc w tym wypadku zwrot „kto przetwarza” nie świadczy o przestępstwie powszechnym, a o przestępstwie możliwym do popełnienia w ramach przetwarzania jednostronnie profesjonalnego (cel strony aktywnej (tego kto przetwarza) jest profesjonalny, zaś strony pasywnej (tego którego dane są przetwarzane) nieprofesjonalny), i jeśli przetwarzanie odbywa się w sposób zautomatyzowany lub dane stanowią albo mają stanowić zbiór.

Art. 1. [Zakres przedmiotowy ustawy]
1. Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej “rozporządzeniem 2016/679”.

Artykuł 2

Materialny zakres stosowania (…)

2.           Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

a)           w ramach działalności nieobjętej zakresem prawa Unii;

b)           przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE;

c)            przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

d)           przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Ocena gdyby zakres zastosowania uodo nie był ograniczony

Gdyby zakres zastosowania uodo nie był ograniczony do przetwarzania w zakresie określonym w art. 2 i 3 rodo, trzeba by przyjąć, że ustawodawca krajowy po prostu niezależnie od rodo uregulował odpowiedzialność karną, więc na jej potrzeby należy stosować rodo tylko w zakresie w jakim uadekwatnia przepis art. 107 rodo. W przypadku przetwarzania dla celów osobistych, rodo nie miałoby zastosowania, mogło by to wywołać wątpliwość, czy w takim razie może powstać odpowiedzialność karna. Należałoby więc odpowiedzieć na pytanie co oznacza, że rodo nie ma zastosowania do przetwarzania w celach (w ramach czynności) osobistych lub domowych czy też poza zbiorem w sposób niezautomatyzowany. Oznacza to, że takie przetwarzanie nie jest obarczone obowiązkami wynikającymi z rodo, a także że osoba która przetwarza dane nie ponosi odpowiedzialności jaką konstytuuje rodo, a jest to odpowiedzialność administracyjna i cywilna (nie ma więc potrzeby sięgać do przesłanek warunkujących tę odpowiedzialność, w tym do przepisów zawierających przesłanki przetwarzania zgodnego z prawem). Nie oznacza to jednak, że w sytuacji gdy inny akt prawny niż rodo, określa odpowiedzialność karną, nie można skorzystać z aktu, który w sposób uniwersalny określa przesłanki legalizacyjne przetwarzania – a takim aktem jest właśnie rodo. Art. 107 uodo, ponieważ sam nie zawiera kompletnej normy sankcjonowanej, w niezbędnym zakresie odsyła do rodo. Czyli w tym wypadku, rodo stosuje się w szczątkowym zakresie, nie ze względu na charakter przetwarzania czy przymioty osoby, która przetwarza dane (z tych powodów rodo jest generalnie wyłączone), ale ze względu na art. 107 uodo, który korzysta z rodo, w takim zakresie w jakim jest to konieczne do realizacji jego celu, w ramach komplementarności systemu prawa. Nie byłby to pierwszy ani ostatni przypadek, kiedy dla zastosowania normy karnej trzeba sięgnąć do innej gałęzi prawa. Rodo też odpowie nam na pytanie czy doszło do bezprawnej ingerencji w dobra osobiste, przez przetwarzanie danych, na podstawie art. 24 k.c. Przykładowo pozwany o naruszenie dóbr osobistych, może wykazywać, że zawarł umowę w drobnych bieżących sprawach życia codziennego, dla realizacji celu osobistego, więc jego przetwarzanie jest legalne ze względu na art. 6 ust. 1 lit. b rodo, mimo że rodo do jego przetwarzania ze względu właśnie na cel osobisty (czynność, w tym wypadku prawną, o charakterze osobistym, bo zaspokajającą potrzebę osobistą, a nie gospodarczą) się nie stosuje.

Ocena gdy zakres zastosowania uodo jest ograniczony

Ale tu właśnie sam ustawodawca polski zawęża zastosowanie całej ustawy w tym również art. 107 uodo – zwrot „kto przetwarza” należy więc odczytywać przy uwzględnieniu art. 1 uodo. Oznacza to, że jeśli kto, nawet korzystając z faktu, że ma dostęp do procesu i do danych, jako organ osoby prawnej, czy pracownik, zaczyna przetwarzać dane w celach (w ramach czynności) osobistych, cała uodo w tym art. 107 nie ma zastosowania – inna wykładnia stała by w sprzeczności z fundamentalną zasadą prawa karnego nullum crimen sine lege certa (zakres zakazu obarczonego sankcją karną, musi być ściśle i w sposób jasny określony). Jest to w sumie logiczne – tak jak odpowiedzialność administracyjna i cywilna z rodo powstaje w związku z nielegalnym przetwarzaniem dla celów komercyjnych (czy szerzej profesjonalnych, bo może tu też chodzić o działalność niekomercyjną, w tym władzy publicznej), tak odpowiedzialność karna powinna tym bardziej jako ultima ratio powstawać w takich okolicznościach, nie zaś w przypadku przetwarzania dla celów osobistych.

Przyjęcie takiego stanowiska (według mnie trafnego) może grozić zawężającą interpretacją zwrotu „czynności osobiste”, tak aby wszelkie czynności naruszające prywatność innej osoby, kwalifikować jako wykraczające poza czynności osobiste i stosować w takim razie rodo (należało by to oceniać jako niedopuszczalną na gruncie prawa administracyjnego i karnego analogię na niekorzyść adresata normy – nadawanie zwrotom innego niż ich naturalne znaczenie, dokonywane nie przez ustawodawcę tylko przez interpretatora, stanowi w istocie stosowanie analogii). Efekt byłby taki, że status administratora przypisywano by nie przedsiębiorcy wykorzystującemu dane osobowe w sposób komercyjny, tylko emerytowanej babci, która zamieściła zdjęcie wnuka na fb. Babcia oczywiście nie może wbrew woli opiekunów prawnych naruszać prywatności wnuka, ale od czego mamy prawo cywilne. W ostatnim czasie w Holandii do takiej babci zastosowano rodo (zamiast prawa cywilnego) w celu usunięcia zdjęć z fb, uznano bowiem, że skoro upubliczniła dane to wykroczyła poza czynności (cele) osobiste. A przecież po to prawodawca europejski odróżnił czynności osobiste od domowych, żeby tym pierwszym nie nadawać znaczenia geograficznego. Czynności (cele) osobiste pozostają osobiste, niezależnie od tego czy wykraczają poza ognisko domowe czy nie. Nie byłoby też trafne, moim zdaniem, przeciwstawianie znaczenia zwrotu „czynność” i „cel”, i twierdzenie, że pomimo osobistego celu, czynność nie była osobista, bo była dokonana w środowisku (infrastrukturze, kontekście) nieosobistym, a przepis mówi o czynności nie zaś o celu. Czynność jest zabarwiona przez cel i przejmuje charakter celu, choćby z tej prozaicznej przyczyny, że to czynność jest dla celu, a nie cel dla czynności. Widać to przy kazusie holenderskim, fb nie jest środowiskiem osobistym, ale osoba może w nim dokonywać czynności w celach osobistych albo nieosobistych (profesjonalnych) i nie można twierdzić, że czynności w celach profesjonalnych są osobiste, a w celach osobistych profesjonalne. Czasem może dojść do zbiegu celów osobistego z profesjonalnym, kiedy ta sama czynność realizuje obydwa – wtedy oczywiście należy stosować rodo i tym samym uodo, bo istnienie celu osobistego nie neutralizuje celu profesjonalnego, czynność nie jest wtedy czysto (wyłącznie) osobista.

Ocena zastosowania art. 107 uodo bez względu na to czy przepis ten stosuje się do przetwarzania w celach osobistych

Nie rozstrzygając w tym miejscu ostatecznie, czy art. 107 uodo ma zastosowanie do przetwarzania do którego nie stosuje się rodo (ponieważ w doktrynie są prezentowane stanowiska przeciwstawne), zobaczmy czy wypełnienie znamion czynu opisanego w tym przepisie będzie stanowiło przestępstwo.

Z art. 107 uodo byłby problem gdyby nie istniała część ogólna prawa karnego, ponieważ przepis ten określa bardzo szeroko znamiona czynu. Praktycznie każda postać przetwarzania pozbawiona podstawy legalizacyjnej, stanowi czyn zabroniony, nawet zapoznanie się z danymi z ciekawości, w okolicznościach trywialnych, gdzie każdy postronny obserwator ocenia zdarzenie jako błahe, bez żadnego negatywnego skutku dla osoby, której dane dotyczą.

Pamiętać jednak należy, że art. 107 uodo określa czyn zabroniony, natomiast dopiero odczytany wspólnie z art. 1 ust. 2 Kodeksu karnego (dalej: k.k.) przesądza, czy w konkretnych okolicznościach czyn ten stanowi przestępstwo.

Art. 1. [Struktura przestępstwa. Warunki odpowiedzialności]
§ 1. Odpowiedzialności karnej podlega ten tylko, kto popełnia czyn zabroniony pod groźbą kary przez ustawę obowiązującą w czasie jego popełnienia.
§ 2. Nie stanowi przestępstwa czyn zabroniony, którego społeczna szkodliwość jest znikoma.
§ 3. Nie popełnia przestępstwa sprawca czynu zabronionego, jeżeli nie można mu przypisać winy w czasie czynu.

Przetwarzanie danych osobowych, które jest niedopuszczalne, stanowi przestępstwo tylko wtedy kiedy jego społeczna szkodliwość jest wyższa od znikomej, a więc wtedy kiedy powstała szkoda lub krzywda oceniana obiektywnie jako istotna, a przy tym za uznaniem karygodnego stopnia społecznej szkodliwości przemawiają jeszcze inne okoliczności z art. 115 par. 2 k.k.:

§ 2. Przy ocenie stopnia społecznej szkodliwości czynu sąd bierze pod uwagę rodzaj i charakter naruszonego dobra, rozmiary wyrządzonej lub grożącej szkody, sposób i okoliczności popełnienia czynu, wagę naruszonych przez sprawcę obowiązków, jak również postać zamiaru, motywację sprawcy, rodzaj naruszonych reguł ostrożności i stopień ich naruszenia.

Art. 107 uodo opisuje przestępstwo formalne, a więc karalne jest samo zachowanie opisane w tym przepisie, w przeciwieństwie do przestępstw materialnych, które skonstruowane są w ten sposób, że opisany jest karalny skutek, niezależnie od tego jakie zachowanie ten skutek wywołało – i tak, karalne jest zabójstwo niezależnie od tego, czy zostało dokonane pięściami, nożem, pistoletem czy przez zaniechanie. Każdy czyn zabroniony, niezależnie od tego czy jest opisany przez zachowanie czy przez skutek, musi być oceniany w związku z art. 1 par. 2 k.k., żeby można było stwierdzić przestępstwo, ustawodawca nie jest bowiem w stanie kazuistycznie wyliczyć wszystkich sytuacji, kiedy ze względu na okoliczności różnicujące, dane zachowanie jest społecznie szkodliwe w stopniu wyższym niż znikomy. W przypadku przestępstw formalnych, które według innego podziału są zwykle przestępstwami abstrakcyjnego narażenia dobra prawnego (czyli zaistnienia konkretnego narażenia nie trzeba dowodzić), powiemy że samo abstrakcyjne narażenie i okoliczności w jakich nastąpiło (przesłanki z art. 115 par. 2 k.k.) nie wywołuje społecznej szkodliwości w stopniu wyższym od znikomego, czyli zachowanie jest karalne, ale nie stanowi przestępstwa, więc ostatecznie nie podlega karze, bo nie jest karygodne. O ile waga przestępstw materialnych (skutkowych) zwykle jest taka, że trudno byłoby o przykład znikomej szkodliwości czynu (raczej można szukać okoliczności wpływających na stopień winy, czy wyłączających bezprawność, jak obrona konieczna), to w przypadku czynów zabronionych opisanych jako formalne (bezskutkowych), art. 1 ust. 2 k.k. nieraz wyłączy możliwość uznania ich za przestępstwo.

Na dawnym stanie prawnym przepisy karne dotyczące ochrony danych były bardzo rzadko stosowane. Nie działo się to bez przyczyny, a zmiana stanu prawnego nic w tym zakresie nie zmienia (w przeciwieństwie do odpowiedzialności administracyjnej, w ramach której możliwość karania została znacznie rozbudowana). Nielegalne przetwarzanie danych zwykle osiąga stopień szkodliwości uzasadniający odpowiedzialność karną dopiero wtedy, kiedy występuje w związku z innym poważniejszym przestępstwem np. nielegalne przetwarzanie danych w celu dokonania rozboju na osobie której dane dotyczą (rozbój ma zwykle cel (motyw) zarobkowy nie osobisty). Występuje wtedy zbieg przestępstw lub zbieg przepisów, który wpływa na wymiar kary. Dalsza analiza tej wstępnej oceny w zależności od stanu faktycznego, może prowadzić do przyjęcia przestępstwa ciągłego (art. 12 par. 1 w zw. z art. 11 par. 2 k.k.) przy kumulatywnej kwalifikacji również z art. 107 uodo albo pominięcia kwalifikacji czynu z art. 107 uodo, ponieważ wystąpi inna konstrukcja, taka jak pomijalny zbieg przepisów lub czyn współukarany. Również prawodawca europejski, wydaje się, że nie był przekonany czy prawo karne jest odpowiednim środkiem reakcji na niezgodne z prawem przetwarzanie danych – stąd nie określił swojego stanowiska co do wprowadzenia regulacji karnych w sposób zdecydowany, np. przez zwrot „powinny ustanowić” (sam nie ma kompetencji do stanowienia norm karnych), zostawiając państwom członkowskim wybór co do takiej formy oddziaływania na społeczeństwo (motyw 149, art. 84 rodo), przez zwrot „Państwa członkowskie powinny mieć możliwość ustanawiania przepisów przewidujących sankcje karne”.

Dodatkowo, aby mówić o przestępstwie, sprawcy trzeba przypisać winę (osobistą zarzucalność czynu), a zgodnie z konstrukcją czynu opisanego w art. 107 uodo, przesłanką winy może być tylko postać strony podmiotowej czynu w formie umyślności, nie można popełnić tego przestępstwa z nieostrożności. Aby czyn stanowił przestępstwo nie może też wystąpić żadna z przesłanek negatywnych, czyli okoliczności wyłączających winę, jak niepoczytalność, błąd, działanie na rozkaz, stan wyższej konieczności. Zgodnie z jedną z koncepcji katalog przesłanek wyłączających winę nie jest zamknięty, i w związku z tym można uznać osobę za niewinną ze względu na szczególną sytuacją w jakiej się znalazła, przez co nie można było od niej wymagać zachowania zgodnego z normą (anormalna sytuacja motywacyjna). Również wystąpienie okoliczności wyłączających bezprawność czynu, jak obrona konieczna, stan wyższej konieczności (w jednej z odmian) itd. wyłącza odpowiedzialność karną.

Jak wynika z powyższego samo spełnienie znamion opisanych w art. 107 uodo, stanowi dopiero początek badania, czy doszło do popełnienia przestępstwa. Można ostrożnie stwierdzić, że co do zasady wypełnienie znamion czynu z art. 107 uodo, nie będzie stanowiło przestępstwa, zresztą już sam ustawodawca w uzasadnieniu projektu uodo stwierdził, że stosowanie prawa karnego powinno następować w drodze wyjątku, w sytuacji najpoważniejszych naruszeń prawa – w takiej sytuacji czyn będzie można zwykle zakwalifikować również z innego przepisu opisującego poważniejsze przestępstwo, a reguły dotyczące zbiegu przestępstw i zbiegu przepisów będą rozstrzygały jak ostatecznie wypadnie kwalifikacja czynu.