Odpowiedzialność prawna za dane osobowe w firmie

Przeczytaj także: Zgoda na przetwarzanie danych osobowych

Art. 51. – udostępnianie danych osobom nieuprawnionym

Zapis ten stanowi ochronę przed udostępnianiem lub umożliwianiem dostępu osobom nieupoważnionym. Czyn ten może zostać popełniony zarówno umyślnie jak także nieumyślnie, przez np. niedbalstwo lub niewiedzę, że dane należało chronić.

1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Przepis tego artykułu dotyczy wszystkich, którzy powinni chronić dane osobowe, administratora zbioru danych osobowych lub procesora jako „administrujących zbiorem”, zaś osoby upoważnione do przetwarzania – jako zobowiązane do ochrony danych osobowych. Jeśli nie zostaną dołożone należyte starania w zabezpieczaniu danych osobowych, np. zgodnie z rozporządzeniem do ustawy, to kara będzie wymierzana z tego artykułu.

Pojęcie „umożliwia dostęp” jest bardzo pojemne, np. pozostawienie na biurku dokumentów zawierających dane osobowe w czasie, gdy swoją pracę wykonuje personel sprzątający może zostać uznane za umożliwienie dostępu do danych. Podobnie może być potraktowane pozostawienie niezablokowanego komputera na którym przetwarza się dane osobowe, a nawet zapisanie na kartce hasła do komputera, czy też przekazanie hasła innej, nieupoważnionej osobie. Warto w tym temacie zwrócić uwagę na postanowienie Sądu Najwyższego z dnia 21 listopada 2007 r., sygn. IV KK 376/07, który uznał, że wobec obecnej treści przepisu art. 51 ust. 1 ustawy o ochronie danych osobowych udostępnienie danych lub umożliwienie do nich dostępu jednej osobie nie wyczerpuje znamion omawianego przestępstwa (gdyż zapis posługuje się liczbą mnoga – „osobom”).

Nie należy jednak zakładać, że takie stanowisko będzie przyjmowane przez inne sądy, gdyż, jak stwierdza Aleksander Herzog w glosie do tego postanowienia: „[…] w treści następnego przepisu ustawy, to jest art. 52, ustawodawca używa liczby pojedynczej mówiąc o naruszeniu obowiązku zabezpieczenia danych przed zabraniem ich przez osobę nieupoważnioną. To zaś – zdaniem Sądu Najwyższego – wskazuje, iż ustawodawca wyraźnie rozróżnia sytuacje, w których istotnym jest, czy swego rodzaju „kontrahentem” sprawcy przestępstwa jest jedna czy też większa liczba osób. […]”. Powołuje się na uchwałę Sądu Najwyższego z dnia 21 listopada 2001 r., I KZP 26/2001 w której stwierdzono, że „samo tylko użycie liczby mnogiej dla określenia przedmiotu bezpośredniej ochrony, przedmiotu czynności sprawczej lub środka służącego do popełnienia przestępstwa nie oznacza, że ustawodawca używa jej w znaczeniu zwrotu: »co najmniej dwa«, a więc w celu ograniczenia podstawy odpowiedzialności”.

Art. 52. – naruszenie obowiązku zabezpieczenia danych

Ustawodawca odróżnia udostępnienie lub umożliwienie dostępu do danych od braku zabezpieczenia danych. Art. 51 nakierowany jest na nieumożliwianie dostępu do danych osobowych, zaś art. 52 ochronę kieruje na bezpieczne, niezakłócone przechowywanie danych, co podkreśla użycie wyrazów „zabranie”, „uszkodzenie”, „zniszczenie”.

Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Przestępstwa stypizowane tym przepisem zostaje popełnione przez sam fakt niezabezpieczeni danych zgodnie z wymogami art. 36. Nie ma znaczenia, czy dane zostały zabrane, zniszczone, uszkodzone, czy też nie. Przykładem przestępstwa z tego artykułu będzie więc np.: brak lub zbyt słabe hasło do systemu informatycznego, niezabezpieczenie dokumentów zawierających dane osobowe w szafie, sejfie lub niezamknięcie pomieszczeniu w którym znajdują się dane na klucz. Za to przestępstwo karany jest administrujący danymi – administrator danych lub procesor.

Art. 53. – niezgłoszenie danych do rejestru

Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Przepis ten ma zastosowanie, gdy nie zostanie zgłoszony do rejestracji zbiór danych osobowych, a powinien. Wydaje się, że nie ma znaczenia, czy zbiór został zgłoszony poprawnie, czy nie, dla sprawy istotny jest sam fakt zgłoszenia zbioru do rejestracji (wysłanie zgłoszenia). Z tego powodu zgłaszanie zbiorów przez internet wydaje się lepsze, gdyż mail potwierdzający wysłanie zgłoszenie stanowi dowód wysłania zgłoszenia. Wysyłając pocztą tradycyjną zgłoszenie najlepiej wysłać je za potwierdzeniem odbioru.