Zapisz się do newslettera!

Chcesz być zawsze na bieżąco z tematyką bloga? Interesuje Cię praktyczna wiedza i jej źródła? Raz w miesiącu przesyłam informację o nowych wpisach z bloga oraz o praktycznych rozwiązaniach pojawiających się problemów. Żadnych obcych reklam.

Share this:

  • Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od BIDO Piotr Liwszic newslettera jawneprzezpoufne.pl za pośrednictwem wiadomości e-mail. W każdej chwili możesz wycofać zgodę na otrzymywanie Newslettera, choć będzie mi z tego powodu przykro. Masz zawsze prawo do wniesienia sprzeciwu co do przetwarzania swoich danych osobowych (zakładka kontakt), a o reszcie przysługujących Ci praw przeczytasz w polityce prywatności.

To nie był pierwszy wyrok więzienia za RODO

Tym razem opiszę wyrok Sądu Apelacyjnego we Wrocławiu z 29 stycznia 2019 r. o sygnaturze akt II AKa 405/18. Wyrokiem tym, Sąd Apelacyjny we Wrocławiu utrzymał w mocy wyrok Sądu Okręgowego w Świdnicy o sygnaturze akt III K 88/18, lecz dokonał bardzo istotnej zmiany.

Wskazany wyrok Sądu Apelacyjnego we Wrocławiu został okrzyknięty w mediach jako pierwsze prawomocne skazanie na karę bezwzględnego pozbawienia wolności, a mówiąc wprost karę więzienia za złamanie przepisów RODO. Tytuł nośny i na pewno dobrze „klikalny”. Jednak, jak w większości przypadków, mający tylko „coś” wspólnego ze stanem faktycznym. Tak wydano wyrok, tak orzeczono karę bezwzględnego pozbawienia wolności. I to tyle jeśli chodzi o zgodności z tytułem wielu prasowych artykułów.

Żeby jednak móc wskazać konkrety odniosę się do źródła jakim jest wyrok Sądu Okręgowego w Świdnicy, który otrzymałem wraz z uzasadnieniem po złożeniu wniosku o dostęp do informacji publicznej.

W wyroku tym czytamy jeden z kilkunastu zarzutów stawianych oskarżonej:

Jak widać do samego czynu doszło na wiele miesięcy przed rozpoczęciem obowiązywania RODO. Czynów zarzucanych oskarżonej jest dwanaście, ale jeden z nich nie dotyczy wskazanej powyżej kwalifikacji prawnej. Trzeba tutaj oddać, że oskarżona działała w sposób niezgodny z prawem pomiędzy styczniem 2017 r., a wrześniem 2017 r. Daty te potwierdzają, że czyny oskarżonej nie miały wiele wspólnego ze złamaniem przepisów RODO. Tym bardziej obecnie obowiązująca ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych nie istniała w dacie popełnienia czynów.

Nie poświecę Tego wpisu na pastwieniu się nad Sądem Okręgowym w Świdnicy, który wydał wyrok na podstawie m.in. przepisu, który nie obowiązywał w dniu wyrokowania. Wiemy, że wyrok został wydany 3 września 2018 r., a art. 51 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych został uchylony w dniu 25 maja 2018 r. Po prostych działaniach matematycznych dochodzimy do wniosku, że przepisu na podstawie, którego Sąd orzekał nie było w obrocie prawnym ponad 4 miesiące. Szukając jakiegoś usprawiedliwienia mogę powiedzieć ze swojego własnego doświadczenia, że bazy programów prawniczych używanych w sądach nie zawsze były najbardziej aktualne. Dodatkowo winnego takich sytuacji nie upatruję w Sądzie, który mógł sprawdzić kwalifikację prawną zarzucanego czynu przed wydaniem wyroku, ale obwiniam za ten fakt znaną od lata chorobę, na którą cierpi polski ustawodawca. Jest nią biegunka legislacyjna. Tworzenie prawa w kilka godzin, skracanie vacatio legis do dni, a nie tygodni czy miesięcy pokazuje świetnie, że ustawodawca osiągnął mistrzostwo w technice legislacyjnej, co zupełnie nie przynosi efektu tworzenia przejrzystych przepisów.

Co równie ciekawe Sąd Okręgowy w Świdnicy przyjął, że oskarżona przez sprawowanie funkcji kierownika Ośrodka Pomocy była również administratorem tych danych i w związku z tym ciążyła na niej odpowiedzialność za przestrzeganie ustawy o ochronie danych osobowych:

oraz

Trudno mi zgodzić się z takim poglądem, gdyż co najwyższej oskarżona była osobą administrującą zbiorem (co jest niezbędne do odpowiedzialności z już nieistniejącego przepisu art. 51 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), a nie administratorem tychże danych osobowych, którym w mojej ocenie jest Ośrodek Pomocy. Można tutaj wskazać, że ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia (DZ. U. 2019, poz. 730) dodała ust. 6 do art. 9c ustawy z dnia 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie (Dz. U. z 2015 r. poz. 1390): Administratorem danych przetwarzanych na podstawie przepisów niniejszego artykułu jest ośrodek pomocy społecznej zapewniający obsługę organizacyjno-techniczną zespołu interdyscyplinarnego.

Przechodząc do meritum, nie zgadzam się ze stanowiskiem Sądu Apelacyjnego we Wrocławiu, w którym postawiono znak równości między nieistniejącym przestępstwem stypizowanym w art. 51 ust. 1 ustawy o ochronie danych z 1997 r., a przepisem karnym wskazanym w art. 107 ust. 1 ustawy z dnia 10.05.2018 r. o ochronie danych osobowych. W mojej ocenie nieuzasadnionym jest twierdzenie, że obydwa przestępstwa dotyczą tożsamych czynów.

Żeby ułatwić dalsze rozważania poniższej prezentuję zestawienie wskazanych przepisów:

Jak widać w pierwszym screenie z treści wyroku Sądu Okręgowego w Świdnicy kwalifikacja czynu jest bardziej skomplikowana i dotyczy nie tylko przestępstw godzących w ochronę danych osobowych. Nie jest przedmiotem tego wpisu wskazanie, że zarzucono oskarżonej popełnienie zbrodni i stąd wzięła się właściwość Sądu Okręgowego. Sprawne oko dostrzeże w kwalifikacji art. 310 § 1 i § 2 k.k., który dotyczy podrobienia środka płatniczego albo dokumentu uprawniającego do otrzymania sumy pieniężnej (§ 1 – w tym przypadku weksel in blanco) oraz puszczenie takiego dokumentu w obieg (§ 2 – posłużenie się wekslem in blanco). Pierwszy przypadek zagrożony jest karą pozbawienia wolności na czas nie krótszy od lat 5 albo karze 25 lat pozbawienia wolności, a drugi kwalifikowany typ opisanego czynu jest zagrożony kara pozbawienia wolności od roku do 10 lat. Podkreśliłem w powyższym brzmieniu przepisów to co wydaje się w przedmiotowej sprawie najistotniejsze. I jak widać prawdą jest, że zagrożenie wskazanych powyższej czynów jest tożsame, ale nie można mówić o tożsamości czynów.

Przechodząc do sedna należy wskazać, że art. 51 ust. 1 nieobowiązującej już ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych penalizował udostępnienie danych osobowych osobie nieupoważnionej, którą w tym przypadku była spółka udzielająca pożyczek.

Dzisiejszy przepis art. 107 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych sankcjonuje „niewłaściwe” przetwarzanie danych osobowych, a nie ich nieuprawnione udostępnienie. Wniosek ten należy oprzeć na zakresie definicji przetwarzania, którą odnajdziemy w art. 4 pkt 2 RODO:

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

I jak by nie patrzeć omawiany wyrok Sądu Okręgowego w Świdnicy, a także zmieniający podstawę prawną kwalifikacji wyrok Sądu Apelacyjnego we Wrocławiu, nie zasługują na miano wyroków skazujących za nieprzestrzeganie przepisów RODO.

Na to trzeba jeszcze trochę poczekać.

P.S. Już zupełnie na marginesie wspomnę, że z informacji publicznej jaką uzyskałem z Sądu Apelacyjnego we Wrocławiu żadna ze stron postępowania nie wykorzystała swoich uprawnień do wniesienia skargi kasacyjnej do Sądu Najwyższego. Termin na wniesienie takiej skargi już upłynął – 30 dni od daty doręczenia orzeczenia wraz z uzasadnieniem – choć zawsze pozostaje nadzieje na aktywność RPO lub Ministra Sprawiedliwości (art. 524 § 1 i § 2 k.p.k.).