Zgodnie z art. 84 rozporządzenia RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) państwa członkowskie mają obowiązek przyjęcia dodatkowych sankcji za naruszenia przepisów o ochronie danych osobowych.
Polski ustawodawca wywiązał się ze spełnienia nałożonego obowiązku między innymi poprzez wprowadzenie art. 107 w Ustawie o Ochronie Danych Osobowych z dnia 10 maja 2018 r. (Dz.U. z 2018 r. poz. 1000).
Zgodnie z nim nieuprawnione przetwarzanie danych osobowych może skutkować odpowiedzialnością karną z konsekwencjami zaczynającymi się od kary grzywny, a kończącymi nawet na 3 latach pozbawienia wolności (w przypadku nieuprawnionego przetwarzania tzw. danych wrażliwych).
Przesłankami odpowiedzialności karnej jest przetwarzanie danych osobowych:
1. bez stosownego uprawnienia, lub
2. pomimo niedopuszczalności przetwarzania, z mocy prawa.
Pierwsza sytuacja polega na przetwarzaniu danych przez osobę nieuprawnioną, czyli nieposiadającą odpowiedniego umocowania. Należy jednak zwrócić uwagę, iż w niektórych przypadkach uprawnienie do przetwarzania danych może wynikać bezpośrednio z przepisów (np. dla organów administracji publicznej.)
Druga sytuacja, to przetwarzanie danych osobowych bez podstawy prawnej wyrażonej przez art. 6 RODO, tj.:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, (…).
Omawiane przestępstwo, co do zasady, można popełnić tylko umyślnie. Tym samym Państwa pracownicy, którzy nie będą wiedzieli, że polecenie przetwarzania danych wydane przez danego administratora danych jest bezprawne, nie poniosą odpowiedzialności.
Nie zmienia to jednak faktu, że cała materia ochrony danych osobowych powinna być traktowana jako wrażliwa.