Udostępnienie danych osobowych osoby, która nie wyraziła na to zgody – konsekwencje prawne

Przetwarzanie danych osobowych  oznacza szereg różnych operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub ręczny. Obejmuje takie działania jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych.

Wielokrotnie dokonując zakupów w sklepach internetowych zaznaczamy check box (okienko zgody) wyrażając zgodę na przesyłanie informacji handlowych, często wyrażoną dla kilku różnych firm. Nie czytając dokładnie klauzul informacyjnych – nie mamy wiedzy czy dany przedsiębiorca zobowiązany do ochrony danych osobowych udostępnia je na podstawie naszej zgody, innej podstawy prawnej czy całkowicie bezprawnie.

W jakich przypadkach przetwarzanie danych osobowych bez zgody jest dopuszczalne?

Zgoda osoby, która udostępnia swoje dane osobowe nie jest jedyną podstawą ich przetwarzania, w tym ujawnienia danych osobowych. Dane osobowe mogą być również przetwarzane w sytuacji, gdy:

• jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
• dochodzi do realizacji umowy, gdy osoba, której dane dotyczą, jest stroną umowy lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
• jeśli jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą,
• jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
• jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.

Co zrobić w sytuacji ujawnienia danych osobowych bez zgody?

W sytuacji, gdy rozpowszechnienia danych osobowych dokonał przedsiębiorca, w pierwszej kolejności należy na adres e-mail, adres siedziby lub adres wskazany jako korespondencyjny wysłać zapytanie o zakres przetwarzanych danych, podstawy prawne przetwarzania oraz prośbę dotyczącą usunięcia danych. Na odpowiedź nie powinno się czekać dłużej niż 30 dni. W uzasadnionych przypadkach czas ten może ulec wydłużeniu o czym musimy zostać poinformowani.

W przypadku braku odpowiedzi, bądź odpowiedzi, z którą się nie zgadzamy, kolejnym krokiem jest złożenie zawiadomienia w postaci skargi do Prezesa Urzędu Ochrony Danych Osobowych. Zawiadomienie można wysłać w formie listowej lub wiadomości e-mail.  Wszczęcie postępowania administracyjnego może zakończyć się nałożeniem na przedsiębiorcę kary administracyjnej w wysokości do 20 mln euro lub do 4% całkowitego rocznego obrotu światowego.

Jeżeli ujawnienie danych osobowych doprowadziło do straty finansowej, wizerunkowej, oprócz postępowania administracyjnego, możemy dochodzić odszkodowania czy zadośćuczynienia na drodze postępowania cywilnego.

Kary za udostępnienie danych osobowych bez zgody

Rozporządzenie RODO wyróżnia się dwie odmiany przestępstw bezprawnego przetwarzania danych osobowych:

• podmiot przetwarza dane, choć jest do niedopuszczalne,
• podmiot nie jest uprawniony do przetwarzania danych, ale i tak się tym zajmuje.

Przestępstwo bezprawnego przetwarzania danych osobowych podlegają karze grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2. W przypadku gdy przestępstwo dotyczy danych wrażliwych, osoba udostępniająca dane osobowe bez zgody, podlega karze grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3.

Podstawa prawna:

1. art. 4 pkt 2, 6, 83 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz. Urz. UE. L Nr 119, str. 1) (rozporządzenie RODO).
2. art. 107 ustawy z dnia 10 maja 2018 r.  o ochronie danych osobowych  (Dz.U. z 2019 r. poz. 1781).