Odpowiedzialność karna za naruszenia ochrony danych

Data: 26-06-2015 r.

Administrator danych, który nieodpowiednio zabezpiecza dane osobowe swoich pracowników lub klientów musi liczyć się z odpowiedzialnością karną. Kary mogą być bardzo dotkliwe – nawet do trzech lat pozbawienia wolności. Dodatkowe zmiany wprowadzi w tym zakresie nowe rozporządzenie unijne. Zgodnie z nim GIODO sam będzie mógł nakładać kary finansowe.

Wszystkie czyny zabronione, z którymi ustawa o ochronie danych osobowych wiąże odpowiedzialność karną, są przestępstwami, które według Kodeksu karnego stanowią tak zwany występek. Zostały one wskazane w rozdziale 8 uodo.

Bezprawne przetwarzanie danych osobowych

Przestępstwo umyślne określone w art. 49 ust. 1 uodo w brzmieniu „kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne, albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” wskazuje na dwie zasadnicze cechy.

Pierwszą z nich jest konieczność przetwarzania danych w zbiorze (ustawowa definicja zbioru znajduje się w art. 7 ustawy). Drugą cechą jest „niedopuszczalność przetwarzania” albo „dopuszczalność, ale przez kogoś nieuprawnionego”. Żeby stwierdzić, czy przetwarzanie jest w ogóle dopuszczalne, należy dokonać kolejnego odesłania do ustawy, tj. do art. 23, który wymienia pięć przesłanek niezależnych dopuszczających przetwarzanie. Zasadniczo legitymowanie się jedną z nich przez administratora jest wystarczające dla stwierdzenia dopuszczalności przetwarzania. Jeśli przetwarzamy dane wrażliwe, to pomimo ogólnego zakazu przetwarzania danych art. 27 wskazuje na katalog przesłanek dopuszczających.

Umożliwienie dostępu osobom nieupoważnionym

Zgodnie z przepisami każdy, kto administrując zbiorem danych lub będąc obowiązanym do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch (art. 51 uodo).

Przestępstwo to ma charakter indywidualny, czyli może je popełnić ktoś, kto administruje zbiorem lub osoba zobowiązana do ochrony zbioru danych. Taką osobą może być ktoś upoważniony do przetwarzania, ale również może to być pracownik firmy ochroniarskiej, który nie ma dostępu jako takiego do samych danych osobowych, ale jest odpowiedzialny za fizyczną ochronę pomieszczenia, w którym znajdują się dokumenty czy nośniki elektroniczne z danymi osobowymi.

Naruszenie obowiązku zabezpieczenia danych

Jak wskazuje ustawa „Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku” (art. 52 uodo).

Sprawca (wyłącznie administrujący danymi) może dokonać tego przestępstwa poprzez samo zaniechanie. Przepis ten koresponduje głównie z art. 36 ust. 1, który zobowiązuje administratora danych do takiego zabezpieczenia organizacyjnego i technicznego danych osobowych, aby uniemożliwić wystąpienie powyższych okoliczności.

Niedopełnienie obowiązku rejestracji zbiorów

Przestępstwa związanego z niedopełnieniem obowiązku rejestracyjnego administrujący zbiorem może dopuścić się poprzez niedopełnienie obowiązków (zaniechanie). „Kto będąc do tego obowiązany nie zgłasza do rejestru zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku” (art. 53 uodo).

Naruszenie obowiązku informacyjnego

Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w ustawie o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Treść zacytowanego wyżej art. 54 odnosi się do występku polegającego na niedopełnieniu przez administratora danych obowiązku informacyjnego względem osób, których dane przetwarza. ADO powinien powiadomić je o adresie swojej siedziby, celu zbierania danych, prawie dostępu i źródle danych.

Utrudnianie kontroli inspektora GIODO

Ostatnim przepisem karnym i zarazem najpóźniej wprowadzonym do ustawy jest art. 54a. „Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.

Potrzeba wprowadzenia tego przepisu dojrzewała wraz z doświadczeniem inspekcyjnym kontrolerów biura GIODO, którzy, wykonując swoją pracę, napotykali na działania ze strony administratorów danych lub ich pracowników zmierzające do uniemożliwienia czy utrudnienia sprawnego przeprowadzenia kontroli.

Paweł Osiński, mgr nauk prawnych, trener i prowadzący warsztaty z zakresu ochrony danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 37398 )
Array ( [docId] => 37398 )