Podział odpowiedzialności w zakresie ochrony danych osobowych

Autor: Marcin Szeliga
Data: 22-05-2014 r.

Ustawa o ochronie danych osobowych wymaga wskazania osób, które formalnie będą odpowiedzialne w firmie za przestrzeganie jej zapisów. W konsekwencji zakres odpowiedzialności i ewentualne konsekwencje w innym zakresie dotykają informatyków mających bezpośredni dostęp do danych.

Ustawa ta zobowiązuje wszystkie podmioty do wyznaczenia administratora danych osobowych (ADO) i administratora bezpieczeństwa informacji (ABI). Administratorem danych osobowych jest organ, jednostka organizacyjna, podmiot lub osoba, decydująca o celach i środkach przetwarzania danych osobowych. Z kolei administratorem bezpieczeństwa informacji jest osoba wyznaczona przez ADO nadzorująca przestrzeganie zasad ochrony danych.

Za ochronę danych osobowych odpowiedzialny jest kierownik danej jednostki, np. dyrektor szkoły czy prezes firmy. Nie znaczy to jednak, że to on ponosi bezpośrednią odpowiedzialność za naruszenie przepisów wspomnianej ustawy przez swoich podwładnych — obowiązki realizacji zapisów tej ustawy oraz zakres odpowiedzialności poszczególnych osób precyzuje obowiązująca w danej firmie polityka bezpieczeństwa. Określa ona ponadto zasady dostępu do informacji i zarządzania danymi osobowymi.

Odpowiedzialność karna

Rozdział 8 ustawy o ochronie danych osobowych określa zakres odpowiedzialności karnej za nieprzestrzeganie zasad ochrony tych danych - za umyślne naruszenie przepisów ustawy grozi kara grzywny, ograniczenia albo pozbawienia wolności do lat 2, działanie nieumyślne zagrożone jest karą grzywny, ograniczenia bądź pozbawienia wolności do roku. Odpowiedzialność tę ponosi ADO, a nie osoba która faktycznie naruszyła ustawę, ponieważ błąd pracownika traktowany jest jako zaniedbanie obowiązków przez ADO. Oznacza to, że w przypadku nieuprawnionego przetwarzania danych osobowych oskarżonym w ewentualnej sprawie karnej będzie właśnie ADO (podmiotom, które nie powołały ADO grożą wysokie kary finansowe). Natomiast osobie, która dopuściła się ujawnienia danych, np. informatykowi, grożą przede wszystkim sankcje dyscyplinarne.

W praktyce sprawy karne z zakresu ochrony danych osobowych bardzo rzadko kończą się wydaniem wyroku skazującego — sądy z reguły unikają tego typu skomplikowanych spraw i umarzają postępowanie powołując się na niską szkodliwość społeczną czynu.

Postępowanie administracyjne i cywilne

Jednak w przypadku naruszenia ustawy o ochronie danych osobowych poszkodowany może dochodzić swoich praw nie tylko na drodze karnej, ale również administracyjnej oraz cywilnej:

  1. Postępowanie administracyjne toczy się przed GIODO (Generalnym Inspektorem Ochrony Danych Osobowych), który może wydać decyzje nakazującą przywrócenie stanu zgodnego z przepisami ustawy. Nie może jednak nakładać kar finansowych.
  2. Postępowanie cywilne może być wszczęte niezależnie od administracyjnego, na podstawie art. 23 i 24 kodeksu cywilnego. Umożliwiają one nie tylko zażądanie usunięcia skutków naruszenia ustawy, ale również zadośćuczynienie pieniężnego za doznaną krzywdę. Na niekorzyść oskarżonego działa, jeżeli wcześniej w tej samej sprawie toczyło się już postępowanie administracyjne, w ramach którego GIODO stwierdził naruszenie ustawy o ochronie danych osobowych. Wtedy ma on dużo większe szanse na wygraną.

Jeżeli dane zostały bez zgody przekazane innej firmie, naruszony został przepis zabraniający przetwarzania danych osobowych w innym celu niż zostały zebrane. Oprócz wymienionych uprzednio dróg postepowania, w takim przypadku ustawa o ochronie danych osobowych daje możliwość sprawdzenia, w jaki sposób firma te weszła w posiadanie naszych danych. Jeżeli okaże się, że był to sposób nieuprawniony, ADO może ponieść odpowiedzialność karną. Co więcej, sama odmowa ujawnienia tych informacji również jest zagrożona karą. Jeżeli firma zignoruje żądanie od poszkodowanego, może on poinformować o tym fakcie GIODO, który z kolei zobowiąże ADO do udostępnienia żądanych informacji.

Marcin Szeliga

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
Array ( [docId] => 34932 )
Array ( [docId] => 34932 )

Array ( [docId] => 34932 )