Temat: Przestępstwa umyślne i nieumyślne - jak to jest z uodo

Przestępstwo w artykule 49 ustawy o ochronie danych osobowych jest to przestępstwo umyślne, dokonane z rozwagą, celowo.

I teraz zastanawiam się, czy gdy administrujący danymi jest przekonany, że:
1) zbierane dane to nie są dane osobowe lub
2) wierzy, że sposób przetwarzania nie wpisuje się w definicje zbioru.
to czy można uznać, że jego występek jest nieumyślny, a co za tym idzie - nie można go skazać z art. 49? Jakiego rodzaju jest to zachowanie - lekkomyślność (nie chciał i nie godził się, myślał, że uniknie? niedbalstwo (j.w. ale mógł przewidzieć)?

Zakładam, że ignorantia iuris nocet i brak świadomości konieczności spełniania przesłanek legalności, etc - to jednak występek umyślny.

Temat: Przestępstwa umyślne i nieumyślne - jak to jest z uodo

Moim zdaniem raczej zawsze umyślne.

Po pierwsze nieznajomość prawa nie jest czynnikiem łagodzącym.

Czyli jeżeli nie wiesz lub nie jesteś pewien:
1) przyjmij wariant najgorszy ale zgodny z przepisami;
2) przyjmij wariant odpowiedni dla siebie ale opracuj dokładną i silną argumentacje dlaczego tak postąpiłeś;
3) zapytaj GIODO.

Po drugie przy obecnej definicji danych osobowych jako takie mogą być traktowane praktycznie każde dane dotyczące osoby fizycznej. Co prawda prowadzi to do paranoi ale takie mamy prawo.

Po trzecie zgodnie z uodo jako domyślne traktuje się nie wyrażanie zgody na przetwarzanie danych osobowych. Więc lepiej dmuchać na zimne i o taką zgodę wystąpić.

Ponadto w ogóle problematyczne jest przyjęcie nieumyślnego występku. W końcu dane są zbierane umyślnie w konkretnym celu (może poza kolekcjonerami wizytówek). Zarówno zbieranie danych jak i ich przetwarzanie będzie zawsze działaniem umyślnym, świadomym. Jako działanie "nieumyślne" można przyjąć ewentualnie wskazaną powyżej opcję 2. W tym przypadku "przestępca" przynajmniej przeanalizował całą sytuację i przygotował argumenty na poparcie swojej tezy. Co w przypadku niejednoznaczności przepisów (a z tym mamy do czynienie w przypadku uodo co potwierdza zarówno liczba decyzji GIODO jak i wyroków sądowych związanych z uodo) można uznać za czynnik łagodzący a samo"przestępstwo" za działanie nieumyślne.

Temat: Przestępstwa umyślne i nieumyślne - jak to jest z uodo

Oj.......... jako były ścigający - zarówno wykroczenia jak i przestępstwa - ZDECYDOWANIE się nie zgadzam.

To była teza ;-))

Teraz uzasadnienie - a z iloma problemami ABI spotykają sie na co dzień? My mamy tyle problemów z przepisami, mając za sobą kilka, czy kilkanaście lat w branży, to tym bardziej mogą mieć problem inni, którzy zaczynają.

Przy okazji Panie Romanie - ile lat ma średnio Pana komputer? Zanim mi Pan odpowie - warto się zastanowić, jak to w kontekście znowelizowanej ustawy o odpadach... A ile autek macie w firmie? I w kontekście innej już ustawy - jak tam opłaty za zanieczyszczanie? ;-))) A muzyczki się głośno na imprezkach słucha? jeśli tak - to tak świadomie pod prawo ochrony środowiska (w kontekście urządzeń nagłaśniających) się pakujemy, czy po prostu nie wiemy, że... no właśnie.

Sporo jeszcze mogę. Ot ognisko w lesie - leci chmara i zbiera drewno. Bo w lesie i sobie samo padło. Ale jak już tak sobie ogarnęli, taki powiedzmy meterek, to... przestępcy. Bo kradzież lasu z drzewa wykroczeniem jest do... 75 pln. ;-)))

Mam wrażenie, że przepisów jest zbyt dużo, żeby można było mówić o umyślności w niektórych działaniach tylko na zasadzie ignorantia iuris nocet (jak źle - prozę poprawić, z pamięci piszę). Ale ręczę, że można nieźle i samych ABI ścignąć, mało tego tam więcej będzie podstaw.

Ot... widziałem nie raz szafy drewniane na dane osobowe - teoretycznie OK, tylko... w jednej strefie pożarowej w magazynie wysokiego składowania, z substancjami skrajnie palnymi (obciążenie zdecydowanie powyżej 4 MJ/m2 - czyli kosmos, ale "się nie zauważyło"), do tego hala wykonana w konstrukcji szkieletowej, płyta warstwowa, wypełnienie pianka poliuretan, klasa odporności ogniowej... E. I tam dane osobowe i drewniane szafy... (archiwum podręczne), w wydzielonym kantorku.

ADO od razu z art 52 umyślne w sumie należałoby, bo mógł i powinien przewidzieć. Ma przecież IBP - sam ją zatwierdza. Ma do tego karty substancji - bo w sumie za to też odpowiada. Więc...?

Ale tu jeszcze w związku z art 36 - ust 1 obowiązki, a 3 ABI. Nie jestem prawnikiem, ale tu nie będzie podobnej odpowiedzialności ABI? A przepraszam, ale cyframi nie rzucę - mało by nas zostało... ;-)))

A w takiej strefie jak te nasze akta - to tylko w urządzeniach co to pożar przetrzymają. Ale jak się prorok uprze to mógł i powinien przewidzieć, że jak nie spaliły się (bo urządzenie dobre) to się utopią, bo raz że tryskacze, a dwa strażak to gość z fantazją ;-))) Jak nie utopi, to nie zgasi (wiem, do dziś pamiętam kolegów ze szkółki z Wawy jak nas pociągnęli na jednej takiej drukarni w 94 roku).

Podsumuję.

Z dystansem do tej umyślności bym podchodził, bo nieco trudno to wszystko ogarnąć. Raczej bym traktował to bez ostrych granic - to już z praktyki. Ciężko pisze się konkluzję czasem.

Temat: Przestępstwa umyślne i nieumyślne - jak to jest z uodo

Panie Grzegorzu,

Co do komputera to średnio 4 lata. A jak mieliśmy "wyrzucać" to zaproponowałem finansom by sprzedać pracownikom za przysłowiową złotówkę bo i tak wychodziło taniej niż utylizacja zgodnie z przepisami wszelkimi.

Co do Pana uzasadnienia to się w pełni zgadzam. Co do tezy to raczej pozostanę przy swoim.

Już uzasadniam tą rozbieżność. Kiedyś na szkoleniu w Szkole Pożarniczej uczony i doświadczony (dosłownie) Strażak powiedział nam tak - "Proszę Państwa spalić może się wszystko byle zgodnie z przepisami". I to jest klu umyślności "przestępstwa". Niestety nasze prawo dotyczące ochrony danych osobowych to czysta teoria nie mająca nic wspólnego z praktyką o technice nie wspominając. Dobre idea które zrodziły te przepisy rozbiły się dosłownie o rafy niewiedzy technicznej i życiowej ich twórców. W efekcie tego mamy dane osobowe zabezpieczone zgodnie z przepisami uodo ale często gęsto niezgodnie anie z logika ani innymi przepisami dotyczącymi szeroko rozumianej ochrony.

Przysłowie "gdzie kucharek sześć tam nie ma co jeść" pasuje tu jak ulał. Mamy mnóstwo nie najgorszych przepisów ale brak jakiegokolwiek aktu który by to spinał w jedną całość. Miałem nadzieję, że właśnie uodo spełni tą rolę. Ale niestety jest jak jest. Mało tego osobę ABI-ego postrzega się powszechnie jako po prostu prawnika choć ewidentnie jest to osoba, która powinna być interdyscyplinarna. Prawo jest tu tylko "jedną z kucharek" i to nie najważniejszą. Co zresztą opisał Pan bardzo obrazowo w uzasadnieniu.

Reasumując przytłaczająca większość "przestępstw" popełnianych zarówno przez ADO jak i ABI jest umyślna ponieważ świadomie podejmują oni decyzje wiedząc, że nie biorą pod uwagę wszystkich czynników jej "legalności" a jedynie mając na uwadze zgodność z uodo. Mało tego sama ta zgodność jest problematyczna ponieważ szczególnie definicja danych osobowych w uodo jest mało precyzyjna. Ponadto warunki techniczne legalności przetwarzania były moim zdaniem pisane przez kogoś kto o elektronicznych systemach przetwarzania danych miał takie pojęcie jak zwykły śmiertelnik o technicznych podstawach Internetu. Czyli wiem że dzwonią tylko nie wiem w którym kościele.

Zgadzam się, że trudno to wszystko ogarnąć i granice powinny być w miarę łagodne bo nie dość że temat w miarę nowy to jeszcze naprawę im dalej tym bardziej skomplikowanie. Natomiast widząc co się dzieje w tym obszarze naprawdę mam coraz większą chęć ostro ścigać coraz większą ilość dużych firm. I to nie za nie wiedzę ale za głupotę, cwaniactwo i świadome wykorzystywanie ludzkiej niewiedzy w zakresie ochrony danych osobowych.

Temat: Przestępstwa umyślne i nieumyślne - jak to jest z uodo

Roman Janas:
Panie Grzegorzu,

Co do komputera to średnio 4 lata. A jak mieliśmy "wyrzucać" to zaproponowałem finansom by sprzedać pracownikom za przysłowiową złotówkę bo i tak wychodziło taniej niż utylizacja zgodnie z przepisami wszelkimi.

Panie Romanie - w tym konkretnym przypadku proszę spojrzeć czy nadal na was nie ciąży odpowiedzialność. Ot teraz jesteście po prostu SPRZEDAWCĄ ;-)))

Co do Pana uzasadnienia to się w pełni zgadzam. Co do tezy to raczej pozostanę przy swoim.

Już uzasadniam tą rozbieżność. Kiedyś na szkoleniu w Szkole Pożarniczej uczony i doświadczony (dosłownie) Strażak powiedział nam tak - "Proszę Państwa spalić może się wszystko byle zgodnie z przepisami".

Pozwolę sobie doprecyzować. Nie zgodnie z przepisami, a zgodnie ze scenariuszem rozwoju pożaru. ;-))) Coś jak dla ubezpieczyciela komin. Jak stoi - to budynek stoi ;-))) (ale to kiedyś).

I to jest klu umyślności "przestępstwa". Niestety nasze prawo dotyczące ochrony danych osobowych to czysta teoria nie mająca nic wspólnego z praktyką o technice nie wspominając. Dobre idea które zrodziły te przepisy rozbiły się dosłownie o rafy niewiedzy technicznej i życiowej ich twórców. W efekcie tego mamy dane osobowe zabezpieczone zgodnie z przepisami uodo ale często gęsto niezgodnie anie z logika ani innymi przepisami dotyczącymi szeroko rozumianej ochrony.

Ja sobie pozwolę nazwać to inaczej. Są przetwarzane zgodnie z przepisami ustawy.

Przysłowie "gdzie kucharek sześć tam nie ma co jeść" pasuje tu jak ulał. Mamy mnóstwo nie najgorszych przepisów ale brak jakiegokolwiek aktu który by to spinał w jedną całość. Miałem nadzieję, że właśnie uodo spełni tą rolę. Ale niestety jest jak jest. Mało tego osobę ABI-ego postrzega się powszechnie jako po prostu prawnika choć ewidentnie jest to osoba, która powinna być interdyscyplinarna. Prawo jest tu tylko "jedną z kucharek" i to nie najważniejszą. Co zresztą opisał Pan bardzo obrazowo w uzasadnieniu.

Będę na Gigaconie "jechał" po normie informatycznej - ISO 27001, wskazując że wcale informatyczna nie jest ;-))) Zresztą w Łodzi już pokazałem. Swoją drogą to właśnie przypomniało mi się jak to swego czasu teorie mówiły, kiedy lepszy prawnik a kiedy informatyk. Odpowiedź - wtedy, gdy jest członkiem zespołu ds bezpieczeństwa informacji. ;-)))

Z całym szacunkiem dla informatyków i prawników. ;-)))

Reasumując przytłaczająca większość "przestępstw" popełnianych zarówno przez ADO jak i ABI jest umyślna ponieważ świadomie podejmują oni decyzje wiedząc, że nie biorą pod uwagę wszystkich czynników jej "legalności" a jedynie mając na uwadze zgodność z uodo. Mało tego sama ta zgodność jest problematyczna ponieważ szczególnie definicja danych osobowych w uodo jest mało precyzyjna. Ponadto warunki techniczne legalności przetwarzania były moim zdaniem pisane przez kogoś kto o elektronicznych systemach przetwarzania danych miał takie pojęcie jak zwykły śmiertelnik o technicznych podstawach Internetu. Czyli wiem że dzwonią tylko nie wiem w którym kościele.

Panie Romanie - zgodność jest problematyczna - zgadzam się, tylko, że ja "walczę" z nurtem zgodnościowym, bo on jest ... tylko zgodnościowy. Ryzyko jakie jest związane z nim to ryzyko prawne. W przypadku wielu innych aspektów - ryzyka są nieco innej kategorii i tu sie robi problem. Ot przykład... Klient ma obrót roczny 1 mln pln, zysk około 150.000. Jak mu policzyłem ile winien wydać na pełne bezpieczeństwo u siebie, zakładając budżet na jednego speca 80.000 (pensja, zus, szkolenia, narzędzia do pracy - czyli oprogramowanie, czujniki, monitory etc) to mi wyszło, że średnio rocznie powinien do biznesu dokładać około 640.000. Pytanie - czy ryzyka te rzeczywiste sa tyle warte, żeby zgodnością się okładać dookoła?

To jest problem przepisów w bezpieczeństwie - niektóre rozwiązania idą moim zdaniem zbyt daleko. Mało tego uważam, że w przypadku UODO sam sposób postawienia wymagań jest w wielu przypadkach nieadekwatny do zagrożeń. Wszak system bezpieczeństwa to nie tylko rejestracja pierwszego wprowadzenia do systemu automatem, a może dokładniej - ten mechanizm jest do zastąpienia.

Tworząc systemy bezpieczeństwa, najważniejsze jest określenie CELU stosowania zabezpieczenia. Jest to również wskazane w ISO 27001. W przypadku przepisów UODO nie mamy wskazanego CELU a jedynie ZABEZPIECZENIE, co do którego celu musimy się domyślać (rozliczalność).

A do tego przepis nie daje nam możliwości zastosowania rozwiązania spełniającego ów cel, ale realizowanego zupełnie inaczej.

Zgadzam się, że trudno to wszystko ogarnąć i granice powinny być w miarę łagodne bo nie dość że temat w miarę nowy to jeszcze naprawę im dalej tym bardziej skomplikowanie. Natomiast widząc co się dzieje w tym obszarze naprawdę mam coraz większą chęć ostro ścigać coraz większą ilość dużych firm. I to nie za nie wiedzę ale za głupotę, cwaniactwo i świadome wykorzystywanie ludzkiej niewiedzy w zakresie ochrony danych osobowych.

Panie Romanie, witam w klubie. Po ponad 10 latach w różnych państwowych (nie wszystkie w CV) mam taką chęć od dawna. Reguluję owe chęci tym, że są ludzie i firmy dla których nie pracuję. Tak jak nie robię audytów na zamówienie, że ślicznie jest. Szanujmy się jako specjaliści to dzieki temu tez dołożymy kawałek do wspólnej walki o to, żeby było dobrze.

Temat: Przestępstwa umyślne i nieumyślne - jak to jest z uodo

Panie Grzegorzu,

Dziękuję bardzo za uwagi. I w pełni się z Panem zgadzam. Szczególnie z "zawoalowanym" stwierdzeniem, że bezpieczeństwem powinien zajmować się zespół a nie pojedyncze osoby. Choć życie pokazuje, że w przypadku małych (jeżeli chodzi o liczbę zatrudnianych pracowników) firm najczęściej jest to jedna osoba. I tu potrzeba "człowieka renesansu" lub wsparcia zewnętrznych firm specjalizujących się w tej tematyce.

Nie zgodzę się jedynie co do cytowanej przeze mnie wypowiedzi Strażaka. Jemu rzeczywiście chodziło o spalenie zgodnie z przepisami. Po prostu jeżeli masz wszelkie niezbędne papiery (zaświadczenia, certyfikaty, przeglądy, pieczątki, itp., itd.) to wszystko jest w porządku i nikt nie poniesie odpowiedzialności. Jeżeli brak ci bodaj jednej to możesz dostać parę lat i to niekoniecznie w "zawiasach". Na poparcie swych słów podał przykład z własnego życia zawodowego ale to trochę przydługa historia by ją opisywać.

Co do SPRZEDAWCY to też nie do końca ale to chyba inny wątek.

Temat: Przestępstwa umyślne i nieumyślne - jak to jest z uodo

Leszek K.:
Przestępstwo w artykule 49 ustawy o ochronie danych osobowych jest to przestępstwo umyślne, dokonane z rozwagą, celowo.

I teraz zastanawiam się, czy gdy administrujący danymi jest przekonany, że:
1) zbierane dane to nie są dane osobowe lub
2) wierzy, że sposób przetwarzania nie wpisuje się w definicje zbioru.
to czy można uznać, że jego występek jest nieumyślny, a co za tym idzie - nie można go skazać z art. 49? Jakiego rodzaju jest to zachowanie - lekkomyślność (nie chciał i nie godził się, myślał, że uniknie? niedbalstwo (j.w. ale mógł przewidzieć)?

Zakładam, że ignorantia iuris nocet i brak świadomości konieczności spełniania przesłanek legalności, etc - to jednak występek umyślny.

Zachęcam do poczytania szerzej na temat normatywnej teorii winy w prawie karnym.

Temat: Przestępstwa umyślne i nieumyślne - jak to jest z uodo

Panie Pawle,
poczytałem i właśnie niełatwo było mi - w kontekście ustawy o ochronie danych osobowych - dociec, jak to jest z tą winą. Bo co innego, gdyby nie chciał zebrać tych danych - wtedy nie ma winy (są takie sytuacje, gdy do firmy klienci przysyłają więcej danych niż trzeba - można te dane zniszczyć, chociaż przetwarzało się je przez jakiś czas), a co innego gdy jest się w mylnym przekonaniu co do oceny (interpretacji) przepisów. Bo nie zawsze można łatwo ustalić, co jest danymi osobowymi.

Temat: Przestępstwa umyślne i nieumyślne - jak to jest z uodo

Przy normatywnej teorii winy mówimy o zarzucalności. I umyślność mamy wtedy, gdy chce popełnić lub przewidując możliwość popełnienia, na to się godzi. Jeżeli to zostanie wykazane, możemy przypisać odpowiedzialność z 49 ust. 1 lub 2 uodo. Tylko, jeżeli to zostanie wykazane. Czyli - a contrario - jeżeli nie chce popełnić i zostanie to wykazane, to nie ma przestępstwa.