Odpowiedzialność karna administratora danych
W każdym przedsiębiorstwie Administrator Danych (ADO) sprawuje władztwo nad przetwarzaniem danych i co za tym idzie jest odpowiedzialny za ich bezpieczeństwo. W tym tekście skupimy się właśnie na jego odpowiedzialności. Pouczenie, kara finansowa, a może ograniczenie wolności? Co czeka ADO za nieprzestrzeganie swoich obowiązków?
Zacznijmy od ciekawostki: Ustawa o ochronie danych osobowych nie reguluje wprost cywilnej odpowiedzialności Administratora danych. Wprost to mało powiedziane. Wyrażając się precyzyjniej: ustawa ta nie zawiera żadnych przepisów dotyczących cywilnej odpowiedzialności administratorów danych czy innych podmiotów, które przetwarzają dane. Ustawodawcy uregulowali jednak odpowiedzialności karne za nieprawidłowości w przetwarzaniu danych czy niedopełnienie obowiązków. Ustawa o ochronie danych osobowych listuje trzy główne zaniechania ADO, które wymienimy teraz, a poniżej omówimy szerzej każde z nich. Są to: nieuprawnione przetwarzanie danych, brak odpowiedniego zabezpieczenia danych oraz niespełnienie obowiązku rejestracji zbiorów.
Nieuprawnione przetwarzanie danych
O karze za bezprawne przetwarzanie danych osobowych stanowi artykuł 49 uodo:
Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia albo pozbawienia wolności do lat 2.
Surowsza kara jest przewidziana w przypadku nieuprawnionego przetwarzania danych wrażliwych (np. przynależność partyjna, wyznaniowa, dane o kodzie genetycznym czy życiu seksualnym). Wówczas sprawca może zostać ukarany pozbawieniem wolności do lat 3.
Zwróćmy szczególną uwagę na fakt, iż artykuł 49 nie skupia się wyłącznie na administratorze danych. Odpowiedzialność karną wynikającą z powyższego artykułu może ponieść każda osoba nieuprawniona do przetwarzania danych. Odpowiedzialności podlegają również podmioty przetwarzające dane na zlecenie administratora (np. podmioty pocztowe, księgowe) jeżeli nie mają umocowania do udostępniania danych osobowych a mimo wszystko to czynią. Podkreślmy, że przestępstwo popełnia wyłącznie osoba, która przetwarza dane w obrębie zbioru, gdyż art. 49 nie zabrania przetwarzania danych poza zbiorami.
Brak odpowiedniego zabezpieczenia danych osobowych
Jest to kolejne przestępstwo o którym stanowi ustawa o ochronie danych osobowych w artykule 52. Brzmi on następująco:
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, każe pozbawienia, bądź ograniczenia wolności do roku.
Zwróćmy w tym miejscu uwagę na określenie wyciągnięte żywcem z ustawy: administrujący danymi. Jak należy interpretować to określenie? Administrujący danymi to ktoś, kto zarządza danymi, choć niekoniecznie musi być administratorem danych. Przestępstwo w tym przypadku może więc popełnić każda osoba mająca dostęp do danych przyznany przez administratora (np. pracownik firmy). Inaczej niż w przypadku nieuprawnionego przetwarzania danych, reperkusje ich nieodpowiedniego zabezpieczenia będą obejmowały dane zawarte w zbiorach, jak również te poza zbiorami.
Niespełnienie obowiązku rejestracji zbiorów w GIODO
Przypuśćmy, że administrator danych nie zgłosi zbiorów do GIODO. Co wtedy? Odpowiedzialność karną za brak rejestracji regulują dwa artykuły ustawy, mianowicie:
Art. 53 – Kto będąc do tego zobowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do roku.
Art. 54 – Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji uniemożliwiających korzystanie z praw przyznanych jej w tej ustawie, podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności do roku
Obowiązek rejestracji zbiorów wynika z art. 40 tejże ustawy, który nakazuje zgłoszenie przetwarzanych danych do Generalnego Inspektora Ochrony Danych Osobowych. Przestępstwo określone w dwóch powyższych artykułach jest indywidualne. Do odpowiedzialności za ich popełnienie może więc być pociągnięta wyłącznie osoba, która winna uregulować kwestie zgłoszenia zbiorów do GIODO. Mowa tu oczywiście o administratorze danych (ADO).
Podsumowanie
Dla zwykłego sprzedawcy internetowego kary, które przewiduje ustawa o ochronie danych osobowych wydają się ogromne. Wielu właścicieli e-przedsiębiorstw do dzisiaj żyje w nieświadomości, często nie mając najmniejszego pojęcia o istnieniu instytucji GIODO, a co dopiero mówić o obowiązku zgłoszenia. Kary faktycznie mogą sprawiać wrażenie wyolbrzymionych, zwłaszcza biorąc pod uwagę zazwyczaj niską szkodliwość (podkreślmy słowo zazwyczaj) niedopełnienia obowiązków przez administratora danych. Czy należy się zatem bać? Na pewno nie należy popadać w panikę. Kary pozbawienia bądź ograniczenia wolności w przypadku tej ustawy są bardzo rzadko stosowane. Zazwyczaj postępowanie kończy się na zobowiązaniu do zaniechania nieprawidłowych praktyk, bądź na karze grzywny. Jeśli, drogi czytelniku, jesteś sprzedawcą internetowym i nie spełniłeś obowiązku rejestracji zbiorów w GIODO jak najszybciej tego dokonaj.
Potrzebujesz pomocy przy rejestracji zbiorów, bądź zabezpieczeniu danych osobowych w Twojej firmie? Zgłoś się do nas, a z pewnością ci pomożemy i doradzimy najlepsze rozwiązanie.
