Odpowiedzialność prawna za dane osobowe w firmie

Przeczytaj także: Zgoda na przetwarzanie danych osobowych

Wykonanie zastępcze może być bardziej dokuczliwe i kosztowne. Przykładowo jeśli nie zostaną np. zastosowane zabezpieczenia w systemach informatycznych które nakazano wdrożyć w ramach decyzji administracyjnej, to GIODO może zawrzeć umowę z fi rmą informatyczną, która je wdroży, a przedsiębiorca zostanie obciążony kosztami tego „wykonania zastępczego” (wdrożenia). Ostatni ze środków jest najbardziej radykalny. Przymus bezpośredni polega na doprowadzeniu do wykonania obowiązku podlegającego egzekucji można by powiedzieć, siłą. W stosunku do decyzji GIODO trudno sobie w ogóle wyobrazić sytuacje, w jakich mogłoby to nastąpić, warto jednak wiedzieć, że wśród kompetencji GIODO znajduje się także i taka.

Przepisy karne

Wszystkie przepisy karne ustawy o ochronie danych osobowych stanowią przestępstwa umyślne, za wyjątkiem tych opisanych w art. 51 i 52, w których można występek popełnić także nieumyślnie. Umyślne popełnienie czynu zabronionego jest wtedy, gdy sprawca miał zamiar jego popełnienia. Nieumyślne zaś może występować na skutek lekkomyślności, niedbalstwa, szczególnie to ostatnie może mieć znaczenie, kiedy przestępstwo jest popełniane z niewiedzy, że należało postąpić inaczej lub z braku znajomości prawa. Ignorantia iuris nocet – nieznajomość prawa szkodzi.

Rozdział 8 ustawy o ochronie danych osobowych poświęcony jest przepisom karnym, wszystkie czyny niedozwolone opisane w art. 49–54a stanowią przestępstwa i są ścigane z urzędu. Oznacza to, że organy ścigania (Policja, Prokuratura) zobowiązane są po uzyskaniu informacji o podejrzeniu popełnienia przestępstwa niezwłocznie podjąć działania mające na celu wykrycie sprawcy i zebranie dowodów jego winy. Proces karny może zostać wszczęty niezależnie od tego, czy ktoś został pokrzywdzony, a nawet jeżeli, to jest on niezależny od woli osoby pokrzywdzonej, a może być nawet wszczęty wbrew jej woli. W przypadku gdy przedsiębiorca popełni występek określony w jednym z przepisów karnych ustawy o ochronie danych osobowych i zostanie zgłoszone np. na Policję zawiadomienie o popełnieniu przestępstwa, to Policja ma obowiązek podjąć (i kontynuować) działania, nawet jeśli osoba uzna, że chce wycofać zawiadomienie.

Bez wątpienia np. wyrzucenie dokumentów zawierających dane osobowe na śmietnik może prowadzić do złożenia takiego zawiadomienia. Skazanie z tytułu artykułów 49–54a stanowi, że osoba skazana jest już osobą karaną, a informacja o tym znajdzie się w Krajowym Rejestrze Karnym. Osoba karana nie może zajmować niektórych stanowisk, np. agenta ubezpieczeniowego, księgowego prowadzącego usługowo księgi rachunkowe, urzędnika samorządowego. Osoba karana może mieć też problemy z uzyskaniem wizy do niektórych krajów, np. USA.

Art. 49. – przetwarzanie danych przez nieuprawnionego

Przestępstwo opisane w tym artykule może popełnić każdy. Jest to przestępstwem umyślne, dokonane z rozwagą, celowo.

1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Ustawodawca przewiduje surowsze kary za przetwarzanie danych sensytywnych, o których mowa w art. 27 ust. 1 ustawy. Co ciekawe, w tym artykule dane wrażliwe takie jak m.in. informacje o skazaniach, orzeczeniach o ukaraniu, mandatach nie zostały wymienione, a więc nieuprawnione ich przetwarzanie będzie penalizowane z ust. 1, a nie ust. 2.

2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Warto zwrócić uwagę na słowo „zbiór” – karane są działania na danych w zbiorze danych, nie na samych danych osobowych. Zatem na podstawie tego przepisu przetwarzanie danych poza zbiorem nie będzie karane np. przetwarzanie ich pojedynczo albo w zestawach, które nie spełniają definicji zbioru. Warto też zauważyć, że w ustawowej definicji zbioru użyto względem kryteriów liczby mnogiej, zatem w przypadku sprawy karnej „pojęcie zbioru należy interpretować zgodnie z literalnym brzmieniem art 7 pkt u.o.d.o., a więc ograniczyć je do ułożonego co najmniej według dwóch kryteriów”.

Kara może mieć zastosowanie jeśli przetwarzanie danych nie jest dopuszczalne, a więc wbrew przesłankom legalności przetwarzania określonych w art. 23 ust. 1 oraz art. 27 ust. 2. Niedopuszczalne jest też przetwarzanie danych w sytuacji, gdy osoba zgłosiła sprzeciw ich przetwarzania (art. 32 ust. 1 pkt 8). Przez uprawnionego rozumie się administratora, który spełnia te przesłanki, osobę upoważnioną i podmiot, któremu powierzono przetwarzanie danych osobowych. Oznacza to, że z tego przepisu karane będzie przetwarzanie danych w zbiorze:

• bez spełnienia przesłanki legalności przetwarzania tych danych,
• w celu marketingu bezpośredniego swoich towarów i usług, mimo sprzeciwu osoby,
• w celu przekazywania innym podmiotom, mimo sprzeciwu osoby,
• bez posiadania upoważnienia,
• bez zawartej umowy powierzenia przetwarzania danych osobowych.