„Ochrona danych osobowych – idea może słuszna, ale mało kogo to wszystko obchodzi…” Też tak myślicie? Może i mało kogo ochrona danych obchodzi, ale obchodzić powinna! Ostatnio obiecywałem, że napiszę kilka słów dotyczących odpowiedzialności, na jaką narażają się administratorzy danych, którzy przetwarzają dane osobowe nie do końca w zgodnie z przepisami. Temat ważny, dlatego postanowiłem przyjrzeć się mu dokładniej – dziś pierwsza część!

Każde, nawet najdrobniejsze uchybienie w stosowaniu przepisów ustawy o ochronie danych osobowych oraz wydanych na jej podstawie rozporządzeń może skutkować pociągnięciem administratora danych do odpowiedzialności. Ta może mieć różnoraki charakter – karny, cywilny i administracyjny. Dziś nieco o administracyjnej odpowiedzialności administratora danych.

Nie taki GIODO straszny?

Odpowiedzialność administracyjna w kontekście przepisów ustawy o ochronie danych osobowych związana jest ściśle ze sferą kompetencji Generalnego Inspektora Danych Osobowych. Ten bowiem, w przypadku stwierdzenia naruszenia wynikających z ustawy obowiązków wszczyna postępowanie administracyjne w sprawie. Jego celem, zgodnie z art. 18 u.o.d.o., jest natomiast usunięcie stanu niezgodności z prawem, powstałego np. w związku z:

a) nieposiadaniem przez administratora niezbędnej dokumentacji z zakresu ochrony danych osobowych,

b) brak odpowiedniego systemu upoważnień dla pracowników (o których mowa była tutaj),

c) niezachowanie wymogów związanych z powierzeniem przetwarzania danych osobowych (np. w przypadku outsourcingu procesów związanych z przetwarzaniem danych),

d) przetwarzaniem danych osobowych bez podstawy prawnej.

Postępowanie toczące się przed Generalnym Inspektorem Danych Osobowych kończy się wydaniem decyzji administracyjnej. Nawet jednak w przypadku stwierdzenia naruszenia GIODO nie jest władny ukarać administratora! Może natomiast żądać usunięcia dostrzeżonych uchybień i nakazać administratorowi podjęcie działań w celu przywrócenia stanu zgodnego z prawem np. poprzez uzupełnienie lub sprostowanie danych osobowych, zabezpieczenie danych lub zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, a nawet zażądać usunięcia przetwarzanych przez administratora danych osobowych.

Bat na administratora

Choć GIODO nie może nałożyć na administratora kary w związku z dokonanym naruszeniem, władny on jest przymusić administratora do wykonania wydanej decyzji. Jak może wyglądać takie przymuszenie?

Przepis art. 12 pkt. 3 u.o.d.o., w celu zapewnienia wykonania przez zobowiązanych obowiązków wynikających z decyzji, umożliwia Generalnemu Inspektorowi stosowanie środków egzekucyjnych przewidzianych w ustawie o postępowaniu egzekucyjnym w administracji. Obejmuje to w szczególności możliwość nałożenia na niepokornego administratora grzywny. Jej wysokość w stosunku do osoby fizycznej wynosi maksymalnie 10 tys. zł, a w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej, a więc np. spółek prawa handlowego, maksymalnie 50 tys. zł. To jednak nie wszystko, grzywny te mogą być nakładane wielokrotnie, do wysokości łącznie 50 tys. zł wobec osób fizycznych oraz 200 tys zł w odniesieniu do innych podmiotów.

A już niebawem…

Organy Unii Europejskiej od jakiegoś czasu pracują nad ujednoliceniem europejskiego prawa ochrony danych osobowych, dążąc do zastąpienia obecnie obowiązującej dyrektywy 95/46/WE, stosowanym bezpośrednio rozporządzeniem. Jego projekt, zgłoszony w ubiegłym roku przez Komisję Europejską, choć minimalizuje biurokratyczne obciążenia, znacznie zaostrza odpowiedzialność administratorów w związku z naruszeniem obowiązku należytej ochrony danych osobowych.

I tak, w przypadkach szczególnie rażącego naruszenia przepisów projektowanego rozporządzenia, przewidziano możliwość nałożenia na administratora grzywny w wysokości do 2 mln Euro lub odpowiadającej 2% rocznego światowego obrotu. Taka konstrukcja, tj. umożliwienie uzależnienia wysokości kary od wysokości obrotu naruszyciela, pozwala sądzić, że okres stosunkowo liberalnego traktowania przypadków naruszenia przepisów powoli dobiega końca.

Grzywny to niestety dopiero początek, już niebawem więcej o odpowiedzialności karnej w kontekście ochrony danych osobowych.