Odpowiedzialność prawna za dane osobowe w firmie

Przeczytaj także: Zgoda na przetwarzanie danych osobowych

Osoby upoważnione do przetwarzania danych osobowych

Pracownik, który otrzymał od administratora danych osobowych upoważnienie do przetwarzania danych zobowiązany jest chronić dane, do których przetwarzania został upoważniony. Pracownik odpowiada przede wszystkim przed pracodawcą, ale może też być jednocześnie pociągnięty do odpowiedzialności karnej, np. gdy udostępni dane lub umożliwi do nich dostęp osobom nieupoważnionym (art. 51). Warto też wiedzieć, że jeśli w trakcie kontroli inspektor GIODO uzna, że określona osoba jest winna uchybieniom, może żądać wszczęcia wobec niej postępowania dyscyplinarnego (art. 17 ust. 2):

Na podstawie ustaleń kontroli inspektor może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.

Postępowanie administracyjne

Jeśli zostanie stwierdzone naruszenie ustawy o ochronie danych osobowych, Generalny Inspektor Ochrony Danych Osobowych wszczyna tzw. postępowanie administracyjne. Postępowanie to prowadzone jest zgodnie z Kodeksem postępowania administracyjnego. Celem tego postępowania jest „przywrócenie stanu zgodnego z prawem”. Działanie to ma na celu zmotywowanie przedsiębiorcy do usunięcia uchybienia tak, aby zachować zgodność z ustawą i aktami wykonawczymi do niej (rozporządzeniami). Postępowanie administracyjne będzie wszczynane w każdym przypadku naruszenia ustawy stwierdzonym przez GIODO, a w szczególności, gdy:

• umowa powierzenia nie zostanie zawarta na piśmie,
• w przedsiębiorstwie nie będzie prowadzona ewidencja osób upoważnionych,
• brak będzie dokumentacji przetwarzania np. polityki bezpieczeństwa,
• hasło nie będzie zmieniane częściej niż co 30 dni,
• system nie będzie umożliwiał przygotowanie raportu z danymi osobowymi albo raport nie będzie zawierał wszystkich wymaganych informacji

Jeśli przedsiębiorca, będący adresatem decyzji nie będzie jej realizował, GIODO może zastosować „środki przymusu”, jakie w wyniku nowelizacji ustawy w 2010 r. otrzymał (art. 12 pkt 3):
zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji.

Oznacza to, że jeśli GIODO np. po kontroli nakaże usunąć nieprawidłowości, a przedsiębiorca nie zastosuje się do polecenia, to GIODO ma prawo podjąć działania egzekucyjne. Najpierw będzie to upomnienie, a następnie może zostać wystawiony tytuł wykonawczy oraz skierowany wniosek do organu egzekucyjnego o wszczęcie postępowania egzekucyjnego. Możliwe środki egzekucyjne to:

• grzywna,
• „wykonanie zastępcze”,
• przymus bezpośredni.

Grzywna wydaje się najprostsza do zastosowania, organ egzekucyjny wystawia postanowienie o zastosowaniu grzywny, a gdy nie zostanie uiszczona, zostanie skierowany tytuł wykonawczy do właściwego urzędu skarbowego i zasądzona kwota zostanie zajęta z rachunku bankowego przedsiębiorcy. Wysokość grzywny w stosunku do osoby fizycznej wynosi maksymalnie 10 tys. zł, a w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej (np. spółki z o.o., spółki akcyjne) 50 tys. zł. Grzywny można nakładać wielokrotnie, ale w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać: 50 tys. zł w odniesieniu do osób fizycznych oraz 200 tys. zł w odniesieniu do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej.