Sąd wymierzył karę 2000 zł za przetwarzanie danych bez uprawnienia
Stan faktyczny jest “standardowy” – kosmetyczka pracująca na etacie miała dostęp do danych klientów obsługiwanych przez przedsiębiorcę. Wykorzystała taki dostęp do przygotowania zestawienia obsługiwanych klientów, w tym ich numery telefonów i dane dotyczące zdrowia i takie gotowe zestawienie przesłała do swojego narzeczonego.
Wcześniej kosmetyczka założyła swoją działalność gospodarczą i złożyła wypowiedzenie z pracy.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Prokurator oskarżył zarówno nią i jej partnera o to, że:
w okresie od 25 października 2022 roku do 28 marca 2023 roku będąc zatrudniona w firmie (…) w T., wbrew przyjętemu na siebie zobowiązaniu, wykorzystała informację z którą zapoznała się w związku z wykonywaną pracą i wbrew ciążącemu na niej obowiązkowi w stosunku do przedsiębiorcy, wykorzystała we własnej działalności gospodarczej informację stanowiącą tajemnicę firmy (…), a także przetwarzała dane osobowe, w tym dane dotyczące zdrowia klientów, choć do ich przetwarzania nie była uprawniona, czym wyrządziła poważną szkodę przedsiębiorcy J. Ś., prowadzącej działalność gospodarczą pod nazwą S..
Sąd wydając wyrok w lipcu 2025 r. uznał kosmetyczką winną występku z art. tj. o czyn z art. 266 § 1 kk w zb. z art. 13 § 1 kk w zw. z art. 23 ust. 1 Ustawy o zwalczaniu nieuczciwej konkurencji w zb. z art. 107 ust. 2 Ustawy o ochronie danych osobowych w zw. z art. 11§2 kk i za to na podstawie art. 11 § 3 kk w zw. z art. 266 § 1 kk i art. 33 § 1 i 3 kk wymierza jej karę 100 (sto) stawek dziennych grzywny ustalając wysokość jednej stawki za równoważną kwocie 20 zł (dwadzieścia złotych).
Warto odnotować, że oprócz odpowiedzialności przewidzianej w ustawie o ochronie danych osobowych Sąd wskazał, że działanie kosmetyczki naruszyło także przepisy kodeksu karnego odnoszący się do ujawnienia informacji poufnej jak i do ustawy o zwalczaniu nieuczciwej konkurencji.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Zgodnie z art. 107 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem odpowiedzialności karnej podlega osoba, która przetwarza dane osobowe, choć ich przetwarzanie jest niedopuszczalne albo do ich przetwarzania nie jest uprawniona. Ustawa o ochronie danych osobowych jest następstwem wdrożenia w polskim systemie prawnym Rozporządzenia Unii Europejskiej o Ochronie Danych Osobowych (dalej RODO). Stosownie do art. 4 pkt. 1 RODO danymi osobowymi są informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizyczne. Możliwa do zidentyfikowania zaś osoba, to osoba, którą można bezpośrednio lub pośrednio zidentyfikować w szczególności na podstawie identyfikatorów takich jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Z kolei przez przetwarzanie rozumie się operację lub zestaw operacji wykonywanych na danych osobowych, wykonywaną w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adoptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Na gruncie prawa polskiego zgodnie ze wskazanym powyżej art. 107 ust. 1 ustawy o ochronie danych osobowych niedopuszczalne jest przetwarzanie danych osobowych, których przetwarzanie jest niedopuszczalne, albo przetwarzanie tych danych przez osobę nieuprawnioną.
Jak zaś stanowi art. 13 § 1 kk „Odpowiada za usiłowanie, kto w zamiarze popełnienia czynu zabronionego swoim zachowaniem bezpośrednio zmierza do jego dokonania, które jednak nie następuje”.
W uzasadnieniu Sądu odnajdujemy stanowisko odnoszące się do tego, że:
A. S. będąc zatrudniona w firmie (…) prowadzonej przez J. Ś. zobowiązała się do zachowania w tajemnicy danych osobowych, do których uzyska dostęp w związku z wykonywaniem powierzonych zadań a także do ich przetwarzania wyłącznie w zakresie i celu przewidzianym w zadaniach powierzonych przez administratora.
Korzystając z posiadanych uprawnień pracowniczych oskarżona z systemu V. pobrała dane związane z prowadzoną przez J. Ś. działalnością, w tym dane osobowe klientów firmy, ich numery telefonów i dane dotyczące zdrowia.
Oskarżona pobierając raporty i pliki zwierające wskazane informacje, a następnie przenosząc je poza system firmy (ujawnione zostały bowiem na służbowym komputerze jej partnera, niezwiązanego w żaden sposób z działalnością salonu fryzjersko-kosmetycznego B.), naruszyła obowiązek zachowania tajemnicy.
Zeznania pokrzywdzonej J. Ś. w połączeniu ze zgromadzonym materiałem dowodowym wskazują, że celem oskarżonej było wykorzystanie pozyskanych danych w założonej przez nią działalności gospodarczej, konkurencyjnej wobec firmy (…). Czyn należy zakwalifikować w kategorii usiłowania albowiem z uwagi na ujawnienie plików na komputerze oskarżonego nie doszło do powstania szkody majątkowej po stronie pokrzywdzonej firmy, afirma oskarżonej de facto nie rozpoczęła jeszcze działalności.