Nowa ustawa o ochronie danych osobowych

Podejście zaprezentowane przez resort ma dużo plusów. Najważniejszym jest nadanie nowego kierunku całemu systemowi ochrony danych osobowych w Polsce i wskazanie od razu zmian w przepisach sektorowych, co jest szczególnie istotne dla przedsiębiorców – umożliwia przygotowanie się do nowych regulacji już teraz. Poważnym ryzykiem takiej decyzji, jest jednak możliwość znacznego wydłużenia procesu legislacyjnego, co może opóźnić wejście w życie krajowych regulacji. Procesowanie ustawy o ochronie danych osobowych oddzielnie, względem zmiany 133 ustaw sektorowych, bez wątpienia przyśpieszyłoby przyjęcie tej pierwszej.

W tym roku obchodzimy 20-lecie obowiązującego w Polsce prawa dotyczącego ochrony danych osobowych. Przez ten czas było ono nowelizowane jedynie w ograniczonym zakresie. W wielu aspektach przestało przystawać do otaczającej nas rzeczywistości, a – co za tym idzie – przestało gwarantować należytą ochronę w dobie technologii XXI wieku. Dlatego projektodawca wdrażając GDPR niemal zupełnie odszedł od obowiązującej obecnie ustawy o ochronie danych.

W niniejszym artykule skupimy się na najważniejszych zagadnieniach jakie niesie ze sobą rodzima reforma ochrony danych osobowych. Z uwagi na szeroki zakres zmian wprowadzanych przez NUODO szczegółowa analiza poszczególnych zagadnień zostanie przeprowadzona w kolejnych artykułach. Tym samym, zachęcamy do śledzenia cyklu na Portalu.

Zanim przejdziemy do analizy najważniejszych zagadnień NUODO trzeba oddać projektodawcy, że podszedł do zagadnienia europejskiej reformy danych osobowych rzetelnie i kompleksowo. Co prawda projekt ukazał się z opóźnieniem, bo według zapowiedzi Ministerstwa Cyfryzacji w czasie publikacji pierwszego projektu NUODO, pełny projekt miał być dostępny w okolicach czerwca 2017 r., a jesienią trafić do Sejmu. Czas potrzebny na doszlifowanie NUODO nie został zmarnowany i oto mamy przed sobą, właściwie, kompletną reformę krajowych przepisów ochrony danych osobowych. Z uwagi na poddanie projektu przepisów konsultacjom społecznym oraz uzgodnieniom międzyresortowym, treść projektowanych zmian na pewno ulegnie jeszcze mniejszym lub większym zmianom. Znamy już jednak kierunek podejścia polskiego ustawodawcy do reformy. W naszej ocenie projektodawca bardzo rzetelnie podszedł do wyzwania jakim jest wdrożenie GDPR i po analizie przepisów NUODO wydaje się, że nie przekroczył kompetencji przyznanej państwom członkowskim.

Wyłączenia spod zakresu obowiązywania NUODO

Przepisy unijne zawarte w GDPR przyznają państwom członkowskim swobodę w ograniczeniu stosowania przepisów względem niektórych sektorów. Z rozwiązania takiego skorzystał polski projektodawca, wyłączając zastosowanie ustawy względem:

1) działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych;

2) działalności literackiej;

3) działalności artystycznej;

4) wypowiedzi akademickiej.

Zgodnie z uzasadnieniem projektu NUODO, wyżej wymienione wyłączenia mają pierwszeństwo przed regulacjami GDPR, o ile korzystanie z nich nie narusza istotnie praw lub wolności podmiotu danych – np. poprzez wykorzystanie danych faktycznie w innym celu niż wskazana twórczość dziennikarska, artystyczna lub literacka. Do wskazanych powyżej rodzajów działalności wyłączono tym samym stosowanie art. 13, 15 ust. 3-4, art. 18, art. 27 ust. 2­10 oraz art. 30 rozporządzenia – czyli obowiązki administratora danych w zakresie:

1) informowanie osoby, której dane dotyczą o danych pozyskanych od tej osoby (art. 13),

2) dostarczania osobie, której dane dotyczą kopii danych (art. 15 ust. 3 oraz ust. 4),

3) ograniczenia przetwarzania na wniosek osoby, której dane dotyczą (art. 18),

4) wyznaczania swojego przedstawiciela w UE w przypadku, o którym mowa w art. 3 ust. 2 Rozporządzenia (art. 27 GDPR – podmioty niemające jednostek organizacyjnych w UE przetwarzające),

5) powierzenia przetwarzania danych osobowych podmiotowi przetwarzającemu na podstawie umowy lub innego instrumentu prawnego (art. 28),

6) prowadzenia rejestru czynności przetwarzania danych osobowych (art. 30).

Zgodnie z art. 2 NUODO do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, działalności literackiej oraz działalności artystycznej, nie będzie się stosowało następujących przepisów Rozporządzenia:

  • 5 – zasady przetwarzania danych osobowych,
  • 6 – przesłanki legalności przetwarzania danych osobowych,
  • 7 – warunki wyrażania zgody przez osobę, której dane dotyczą,
  • 8 – warunki wyrażania zgody przez dziecko w przypadku usług społeczeństwa informacyjnego,
  • 9 – przetwarzanie szczególnych kategorii danych,
  • 11 – przetwarzanie danych osobowych osoby niewymagającej identyfikacji,
  • 14 – obowiązek podawania informacji w przypadku pozyskiwania danych nie od osoby, której dane dotyczą,
  • 15 ust. 1 i 2 – prawo dostępu przysługujące osobie, której dane dotyczą,
  • 16 – prawo do sprostowania danych,
  • 19 – obowiązek powiadomienia odbiorcy danych o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania,
  • 20 – prawo do przenoszenia danych,
  • 21 – prawo do sprzeciwu,
  • 22 – zautomatyzowane podejmowanie decyzji w indywidualnych sprawach, w tym profilowanie.

Ochrona danych osobowych dzieci

Projektodawca NUODO, skorzystał z kompetencji przyznanej mu na mocy art. 8 ust. 1 GDPR ustalając, że w wypadku realizacji usług internetowych, dzieci do lat 13 będą musiałby uzyskać zgodę rodzica na przetwarzanie ich danych (alternatywnie potwierdzenie przez rodzica zgody dziecka). Założeniem przyświecającym projektodawcy, jest jak się wydaje wyrównanie granicy wiekowej, gdy taka zgoda jest konieczna, z wynikającą z Kodeksu Cywilnego granicą wiekową, gdy nabywa się ograniczoną zdolność do czynności prawnych. Cieszymy się z takiego rozwiązania, chociaż regulacja nasuwa szereg poważnych wątpliwości. W jaki sposób powinno się weryfikować tożsamość rodziców? Co stanie się ze zgodami, gdy osoba skończy 13 lat? Czy powinny być ponownie potwierdzane? Przepisy nie wskazują również, czy w razie cofnięcia zgody, może to zrobić dziecko samodzielnie, czy jej cofnięcie również wymaga aktywności rodzica.

Inspektorzy ochrony danych

W rozdziale 2 NUODO uregulowano warunki oraz tryb wyznaczania inspektorów ochrony danych osobowych (IOD), czyli nowych podmiotów, o kompetencjach zbliżonych do dzisiejszych Administratorów Bezpieczeństwa Informacji (ABI). W rozdziale określono w jakim terminie należy dokonać zgłoszenia inspektora ochrony danych organowi. Powinna być ona dokonana w terminie 14 dni od dnia wyznaczenia inspektora ochrony danych – w takim samym czasie informujemy o każdej zmianie danych, w tym o odwołaniu IOD. Projektodawca NUODO postanowił wprowadzić do projektu szeroką definicję podmiotów publicznych odnosząc się do definicji wskazanych w art. 5 par. 2 pkt 3 ustawy z 14.6.1960 r. – Kodeks postępowania administracyjnego (KPA), oraz podmioty publiczne wskazane w art. 9 ustawy z 27.8.2009 r. o finansach publicznych (UFP). Wskazana definicja nie powinna nastręczać wątpliwości interpretacyjnych i jest również rozwiązaniem racjonalnym i systemowo spójnym. Są nimi niemal wszystkie podmioty realizujące zadania publiczne z wyłączeniem spółek skarbu państwa oraz instytutów badawczych.

Certyfikacja i akredytacja

W rozdziale 3 NUODO uregulowana została procedura certyfikacji (art. 42 GDPR) oraz akredytacji podmiotów dokonujących monitorowania kodeksów postępowań (art. 41 GDPR). Ostatecznie w projekcie zdecydowano o powierzeniu procedury certyfikacji wyłącznie Prezesowi Urzędu Ochrony Danych Osobowych. We wcześniejszym projekcie NUODO, Prezes UODO miał pełnić funkcję wyłącznie akredytacyjną w stosunku do certyfikujących podmiotów komercyjnych. Sam proces certyfikacji ma się opierać na wytycznych publikowanych przez Prezesa UODO w Biuletynie Informacji Publicznej (BIP) na stronie internetowej organu. Po złożeniu wniosku (w formie papierowej lub elektronicznej) Prezes UODO ma 3 miesiące na jego rozpatrzenie. Odmowa udzielenia certyfikacji następowałaby w formie decyzji, w której Prezes wyjaśniłby powody odmowy. Wniosek o przyznanie certyfikatu wymagał będzie wniesienia opłaty w wysokości trzykrotności przeciętnego, miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim, ogłaszanym przez Prezesa Głównego Urzędu Statystycznego (w 2016 r. wyniosło ono 4047,21 zł). Certyfikat będzie przyznawany na 3 lata. Przed przyznaniem certyfikatu oraz w całym okresie certyfikacji Prezes UODO uprawniony będzie do przeprowadzania u certyfikowanego podmiotu czynności sprawdzających. Warto wskazać, że osoby dokonujące czynności sprawdzających będą miały bardzo szerokie kompetencje polegające między innymi na możliwości wstępu do wszystkich pomieszczeń sprawdzanego (wglądu do dokumentów, oględzin urządzeń, nośników i systemów informacyjnych). W przypadku stwierdzenia przez audytora nieprawidłowości u certyfikowanego, przyznany certyfikat może zostać cofnięty (lub zostanie wydana decyzja odmawiająca przyznania certyfikatu). Projektodawca zdecydował więc o wykorzystaniu eksperckiego zaplecza organu do prowadzenia certyfikacji, a także rozstrzyga jedną, poważną wątpliwość pojawiającą się w tym zakresie. Przedsiębiorcy mogą się obawiać poddawania procedurze certyfikacji wykonywanej przez organ, gdyż w konsekwencji może dojść do ujawnienia naruszeń, a organ uzyskując taką informację może wszcząć postępowanie z urzędu w sprawie uchybienia przepisów ochrony danych osobowych. W związku z powyższym, w uzasadnieniu do projektu, projektodawca wskazał, że „bez wątpienia rekomendowanym rozwiązaniem byłoby przyznanie jednemu z zastępców organu kompetencji do wspierania Prezesa UODO w kierowaniu jednostką odpowiadającą za certyfikację, w tym w zapewnieniu jej pełnej niezależności względem pozostałych jednostek jego struktury organizacyjnej”. Czy takie rozwiązanie zostanie przyjęte – czas pokaże, chociaż ryzyko dla przedsiębiorców układa się tu zupełnie inaczej niż miałoby to miejsce przy certyfikacji prowadzonej przez podmioty prywatne. Z drugiej strony „cywilizuje” to rynek certyfikacji i prawdopodobnie zapobiega swoistej wojnie rynkowej o certyfikowanie.

Poza certyfikacją, NUODO przewiduje również akredytację podmiotów uprawnionych do monitorowania przestrzegania zatwierdzonych kodeksów postępowania, o których mowa w art. 40 GDPR. Procedura przyznania akredytacji jest zbliżona do certyfikacji, przy czym nie został wskazany okres, na który może zostać przyzna akredytacja. Kontrola przestrzegania kodeksów branżowych należała będzie więc do przedsiębiorców, co bez wątpienia wpłynie na rozwój konkurencyjności na rynku, stymulując rozwój gospodarki.

Prezes UODO prowadzić będzie rejestr podmiotów certyfikowanych i akredytowanych, który udostępniony będzie w BIPie na stronie internetowej Urzędu.

Prezes Urzędu Ochrony Danych Osobowych

NUODO wprowadza kluczową zmianę w zakresie funkcjonowania organu odpowiedzialnego za przestrzeganie przepisów o ochronie danych osobowych. Wraz z początkiem obowiązywania GDPR, Generalny Inspektor Ochrony Danych Osobowych zostanie zastąpiony nowym organem jakim będzie Prezes Urzędu Ochrony Danych Osobowych (PUODO), który będzie swoje zadania realizował przy pomocy Urzędu Ochrony Danych Osobowych (UODO). PUODO będzie tym samym organem nadzorczym w rozumieniu GDPR i „dyrektywy policyjnej”

Z uzasadnienia NUODO możemy odczytać, że wraz z początkiem obowiązywania GDPR uchylona zostanie podstawa prawna działania GIODO. Nowy organ nadzorczy, z prawnego punktu widzenia, jest nowym organem państwowym, będącym następcą prawnym Generalnego Inspektora. Nazwa nowego organu również nie jest przypadkowa. Z uwagi na wprowadzenie w Rozporządzeniu funkcji inspektora ochrony danych osobowych, pozostawienie nazewnictwa organu w postaci Generalnego Inspektora Ochrony Danych Osobowych mogłoby wprowadzać w błąd w zakresie powiązania IOD (powołanych przez administratorów danych) z organem nadzorczym.

Procedura powołania PUODO jest zbliżona do powołania GIODO, ale oczywiście zawiera nowe rozwiązania. W stosunku do obowiązującej ustawy zmieniono kryteria, jakie powinien spełniać kandydat na Prezesa UODO. Zgodnie z art. 20 ust. 4 na stanowisko Prezesa UODO może być powołana osoba, która spełnia następujące warunki:

1) jest obywatelem polskim;

2) posiada tytuł naukowy doktora;

3) posiada wiedzę z zakresu ochrony danych osobowych;

4) przez okres co najmniej pięciu lat wykonywała czynności bezpośrednio związane z ochroną danych osobowych;

5) korzysta z pełni praw publicznych;

6) nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe.

Warto wspomnieć o tym, że PUODO będzie mógł wykonywać swoje zadania przy pomocy trzech zastępców, powoływanych i odwoływanych przez Prezesa Rady Ministrów na wniosek ministra spraw wewnętrznych (jeden zastępca) oraz przez ministra cyfryzacji (dwóch zastępców). Jest to o tyle ciekawa konstrukcja, że na gruncie NUODO, w porównaniu do UODO, zwiększono niezależność PUODO poprzez przyznanie mu między innymi kompetencji do samodzielnego nadania statutu Urzędowi Ochrony Danych Osobowych (obecnie robi to Prezydent w formie rozporządzenia). Ponadto, przy Prezesie UODO działać będzie Rada do spraw Ochrony Danych Osobowych, w skład której wchodzić będzie 8 członków. Do zadań Rady zgodnie z art. 34 NUODO należeć będzie:

1) opiniowanie projektów dokumentów organów i instytucji Unii Europejskiej dotyczących spraw ochrony danych osobowych;

2) opiniowanie przekazanych przez PUODO projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych;

3) opracowywanie propozycji kryteriów certyfikacji, o których mowa w art. 7;

4) opracowywanie propozycji rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;

5) inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie PUODO propozycji zmian prawa w tym obszarze;

6) wyrażanie opinii w sprawach przedstawionych Radzie przez PUODO;

7) wykonywanie innych zadań zleconych przez PUODO .

Powyższe wskazuje, że praca Rady do spraw Ochrony Danych Osobowych będzie dostarczała nam dużo informacji, które administratorzy będą mogli wykorzystać już na etapie systemów służących do przetwarzania danych jak również w codziennej działalności.

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

Z projektu NUODO dowiadujemy się jak będzie wyglądało postępowania prowadzone przez PUODO. Będzie ono jednoinstancyjne i prowadzone w oparciu o przepisy kodeksu postępowania administracyjnego (KPA). NUODO wyposaża Prezesa UODO w szereg kompetencji kontrolnych takich jak:

1) prawo dostępu do wszelkich informacji niezbędnych do przeprowadzenia postępowania (z ograniczeniem w zakresie tajemnic prawnie ustawowo chronionych -np. tajemnica radcowska, adwokacka);

2) możliwość żądania przedstawienia dowodów przez stronę oraz wykonanych na koszt kontrolowanego tłumaczeń dokumentów na język polski;

3) możliwość nałożenia grzywny za nieuzasadnione, niestawiennictwo jako świadek lub biegły oraz za bezzasadną odmowę zeznań, okazanie przedmiotu oględzin albo udziału w innej czynności urzędowej;

4) możliwość zobowiązania podmiotu, któremu zarzucane jest naruszenie danych osobowych, do ograniczenia przetwarzania danych, jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy, a dalsze ich przetwarzania może spowodować poważne i trudne do usunięcia skutki.

Decyzje PUODO będą podlegały natychmiastowemu wykonaniu. Ale co ważne, w projekcie przewidziano, że wniesienie przez stronę skargi do sądu, wstrzymuje wykonanie w odniesieniu do administracyjnej kary pieniężnej. Można dopatrzyć się w tym zakresie wątpliwości wyłącznie w zakresie celu wprowadzenia do projektu takiej regulacji. Zgodnie bowiem z art. 108 § 1 Kodeksu postępowania administracyjnego, rygor natychmiastowej wykonalności może być nadany decyzji, od której służy odwołanie. W przypadku decyzji, od której odwołanie nie przysługuje – jak w projekcie Ministra Cyfryzacji, rygor taki nadawany jest więc z mocy samego prawa. Przepis pełni więc funkcję informacyjną.

Postępowanie kontrolne

Do NUODO wprowadzony został przepis dotyczący przeprowadzenia przez PUODO postępowania kontrolnego. Postępowania kontrolne prowadzone będą wg. planu kontroli, na podstawie przeprowadzonych przez Prezesa UODO analiz, oraz na podstawie uzyskanych przez PUODO informacji – czyli w reakcji na tzw. donos. Zgodnie z art. 52 NUODO postępowanie kontrolne może być prowadzone również w toku postępowania w sprawie naruszenia przepisów o ochronie danych osobowych (uregulowanego w rozdziale 5 NUODO). Kontroli będą dokonywać upoważnieni pracownicy Urzędu Ochrony Danych Osobowych, którzy zostali wyposażeni w szereg kompetencji takich jak:

1) wstęp na grunt oraz do budynków, lokali lub innych pomieszczeń;

2) wgląd do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli;

3) przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

4) żądanie złożenia pisemnych lub ustnych wyjaśnień oraz wezwanie i przesłuchanie w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;

5) możliwość przesłuchania w charakterze świadka pracowników kontrolowanego.

Postępowanie kontrolne nie może trwać dłużej niż miesiąc. Zgodnie z art. 74 NUODO postępowanie kontrolne rozpoczyna okazanie legitymacji i upoważnienia kontrolującego, a kończy podpisanie protokołu kontrolnego (art. 74 ust. 2 NUODO).

Postanowienie zabezpieczające

Projekt przewiduje uprawnienie Prezes UODO do wydania postanowienia zabezpieczającego skargę za naruszenie przepisów o ochronie danych. Prezes będzie mógł do momentu rozstrzygnięcia sprawy i wydania decyzji wydać postanowienie nakazujące przedsiębiorcy ograniczenie przetwarzania danych np. do ich posiadania. To znaczne wzmocnienie praw obywateli – będą mogli uzyskać natychmiastową ochronę swoich praw, i rozwiązanie mogące ogromnie wpłynąć na przedsiębiorców. W szczególności dla działalności, której przedmiotem jest przetwarzanie danych osobowych np. sklepu internetowego, będzie to oznaczało znaczne ograniczenie możliwości prowadzenia swojej działalności. W uzasadnieniu do projektu czytamy, że wprowadzenie takiego przepisu było konieczne by skutecznie wdrożyć art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1 GDPR. Wszystkie z powołanych przepisów zobowiązują Prezesa Urzędu do wydawania środków tymczasowych, którym w polskim porządku prawnym nadana została forma postanowienia.

Odpowiedzialność cywilna i karna oraz administracyjne kary pieniężne.

Projekt przewiduje trzy odrębne ścieżki dochodzenia roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych. Co szczególnie ważne, każda z tych dróg może zostać wykorzystana niezależnie, a więc naruszenie będzie mogło być karane trzykrotnie – odpowiedzialność karna, cywilna i administracyjna.

Odnosząc się do odpowiedzialności administracyjnej, PUODO będzie uprawniony do nakładania administracyjnych kar pieniężnych na podstawie i warunkach określonych w art. 83 GDPR. Kary będą nakładane w drodze decyzji administracyjnej. Projektodawca dokonał gruntownej zmiany względem projektu udostępnionego w marcu 2017 r. do konsultacji publicznej, przyznając Prezesowi UODO uprawnienie do nakładania kary finansowej wobec wszystkich organów administracji publicznej. Z uwagi na obniżenie maksymalnego wymiaru kary nakładanej na administrację publiczną, projektodawca wzmocnił odpowiedzialność z tytułu naruszenia prywatności przez ten sektor poprzez nałożenie na niego obowiązku sprawozdawczego – każdy z adresatów decyzji wydawanych przez PUODO zobowiązany będzie do niezwłocznego wykazania sposobu ich wykonania. Administracyjne kary pieniężne będą stanowić dochód budżetu państwa, a ich 1% zasilał będzie nowo utworzony Fundusz Ochrony Danych Osobowych (FODO). Środki z FODO mogą być wydatkowane na:

1) inicjowanie i podejmowanie przez PUODO przedsięwzięć w zakresie upowszechniania w społeczeństwie wiedzy o potrzebie ochrony danych osobowych oraz ryzyku, przepisach, zabezpieczeniach i prawach związanych z ich przetwarzaniem. Szczególną uwagę poświęca się działaniom skierowanym do dzieci;

2) inicjowanie i podejmowanie przez PUODO przedsięwzięć w zakresie upowszechniania wśród administratorów i podmiotów przetwarzających wiedzy o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych osobowych.

Środki z funduszu nie mogą być podstawą osiągania przychodów przez pracowników Urzędu.

W przypadku, kiedy waga naruszeń jest znikoma, a strona zaprzestała naruszeń PUODO może udzielić upomnienia w drodze decyzji.

W projekcie znajduje się również możliwość dochodzenia roszczeń na drodze sądowej przed sądami cywilnymi (obok wszczęcia postępowania administracyjnego). Nie wyłącza to jednak możliwości jednoczesnego wystąpienia z roszczeniami z tytułu naruszenia przepisów NUODO wobec administratora danych osobowych. Praktyczne znaczenie tego uregulowania jest duże. Powołany przepis stanowi odrębną podstawę prawną dochodzenia roszczeń względem przewidzianej w art. 24 kodeksu cywilnego.

NUODO wprowadza obowiązek dla sądów o zawiadomieniu PUODO o każdym toczącym się postępowaniu, a także o każdym wyroku uwzględniającym powództwo w sprawach roszczeń cywilnych związanych z naruszeniem przepisów ochrony danych osobowych. Powyższe oznacza, iż podmiot danych będzie w stanie, na drodze cywilnej, uzyskać szeroką ochronę w razie naruszenia przepisów o ochronie danych.

W NUODO znalazły się również przepisy karne. Za udaremnienie lub utrudnienie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych grozi grzywna nakładana w parciu o przepisy Kodeksu postępowania w sprawach o wykroczenia; za przetwarzanie tzw. danych wrażliwych (art. 9 GDPR) bez podstawy prawnej grozi grzywna, ograniczenie wolności lub pozbawienie wolności do roku – orzekane w trybie przepisów kodeksu karnego.