Przeczytaj również: kary RODO
W jakich przypadkach przetwarzanie danych osobowych bez zgody jest dopuszczalne?
Zgoda osoby, która udostępnia swoje dane osobowe nie jest jedyną podstawą ich przetwarzania, w tym ujawnienia danych osobowych. Dane osobowe mogą być również przetwarzane w sytuacji, gdy:
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
- dochodzi do realizacji umowy, gdy osoba, której dane dotyczą, jest stroną umowy lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
- jeśli jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą,
- jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
- jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
Sprawdź jak wdrożyć RODO w twojej organizacji
Co grozi za ujawnienie danych osobowych?
Osoba, która przetwarza dane osobowe bez podstawy prawnej, w tym używa danych osobowych bez zgody danej osoby popełnia przestępstwo. Zgodnie bowiem z art. 49 ustawy o ochronie danych osobowych kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
W sytuacji użycia danych bez zgody osoba pokrzywdzona może złożyć zawiadomienie o możliwości popełnienia przestępstwa na Policję lub do Prokuratury i na poparcie swoich twierdzeń przedstawić dowody.
Ujawnienie danych osobowych – kara
W przypadku naruszenia zasad ochrony danych osobowych na przedsiębiorców nakładane są wysokie, pieniężne kary administracyjne. Organem uprawnionym do wymierzenia kary administracyjnej za nieprzestrzeganie, złamanie lub naruszenie przepisów RODO jest Urząd Ochrony Danych Osobowych (UODO).
UODO może nałożyć karę w wysokości do 10 lub 20 mln euro, albo do 2 % lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku. Sprawy są rozpatrywane indywidualnie, z uwzględnieniem warunków popełnionego czynu. Ustalając wysokość kary UODO bierze pod uwagę między innymi następujące okoliczności:
- kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO,
- czas trwania naruszenia,
- liczbę poszkodowanych osób i rozmiar poniesionej przez nich szkody,
- charakter i wagę czynu,
- rodzaj działań podjętych w celu zminimalizowania szkody,
- stopień odpowiedzialności administratora danych lub podmiotu przetwarzającego dane (z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych),
- stopień współpracy z organem nadzorczym,
- sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, a w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.
Ujawnienie danych osobowych – odszkodowanie
W przypadku rozpowszechnianie danych osobowych w sposób bezprawny osobie, której dane udostępniono przysługuje odszkodowanie. Co do zasady odszkodowanie za udostępnienie danych osobowych bez zgody, a tym samym naruszenie RODO należy się zawsze, kiedy do niego dochodzi.
Wysokość odszkodowania za ujawnienie danych osobowych nie jest ściśle określona i ustala ją sąd po przeprowadzonym postępowaniu dowodowym. W konsekwencji, wysokość odszkodowania w każdym przypadku jest inna i zależeć będzie od poniesionej szkody, która co do zasady stanowi równoznaczność odszkodowania.
Dodatkowo oprócz odszkodowania, osoba, której dane osobowe bezprawnie ujawniono i po jej stronie powstała szkoda niemajątkowa, może domagać się zadośćuczynienia.