Było już trochę o administracyjnym aspekcie odpowiedzialności za nienależyte zabezpieczenia danych osobowych. Dziś nieco bardziej elektryzująco (i to nie tylko, jak się okaże, dla administratorów danych) – odpowiedzialność karna!

Więzienie? Za dane osobowe?

Niestety… Naruszenie niektórych spośród licznych wymogów związanych z ochroną danych osobowych może stanowić przestępstwo zagrożone karą pozbawienia wolności nawet do trzech lat. Co więcej, w praktyce istotnym jest też, że przestępstwa określone przepisami ustawy o ochronie danych osobowych stanowią przestępstwa ścigane z urzędu, a więc bez konieczności złożenia wniosku o ściganie przez pokrzywdzonego.

Przecież nikt się nie dowie…

Zgadza się, może nikt się nie dowie, ale czy możemy to wykluczyć. Czy warto ryzykować? W praktyce najczęstszymi przyczynami „wypłynięcia” sprawy naruszenia przepisów związanych z ochroną danych osobowych nie są wcale rutynowe kontrole, a… donosy. Trudno tutaj o zaskoczenie. Byli pracownicy, którzy rozstali się z firmą w niezbyt przyjacielskiej atmosferze, a w szczególności rynkowa konkurencja, czyhająca na każde nasze potknięcie nadzwyczaj chętnie dzielą się wiedzą, podejrzeniem lub nawet niesprawdzonymi informacjami o rzekomo istniejących nieprawidłowościach.

W sytuacji, gdy poważniejsze przypadki naruszenia zasad ochrony danych osobowych są penalizowane, gra staje się warta świeczki. Co więc grozi niefrasobliwemu administratorowi, w sytuacji gdy odpowiednie organy uzyskają dowody, że w jego firmie niekoniecznie chroni się dane osobowe.

Najcięższy kaliber

Podstawową zasadą przetwarzania danych osobowych, wypływającą wprost z treści art. 26 ust. 1 pkt 1 ustawy, jest zapewnienie legalności tego przetwarzania, a więc innymi słowy, przetwarzania danych zgodnie z prawem. Tym samym, obowiązkiem administratora jest zapewnić w szczególności, że przetwarzanie danych odbywa się w sytuacji istnienia choćby jednej z przesłanek dopuszczalności przetwarzania, o których mowa w art. 23 ust. 1 ustawy.

Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

I tak, zgodnie z art. 49 ustawy, kto dopuszcza się przetwarzania danych osobowych, w sytuacji gdy nie jest do tego uprawniony, podlega karze grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. W przypadku, gdy nielegalne przetwarzanie dotyczy danych wrażliwych, kara może wynieść nawet 3 lata pozbawienia wolności. A trzeba podkreślić, że o przetwarzanie danych bez podstawy prawnej wcale nie tak trudno…

Brak zgody na przetwarzanie, przetwarzanie po osiągnięciu celu, przyjęcie danych do przetwarzania bez podstawy w postaci umowy powierzenia przetwarzania… Można długo wymieniać…

Bezpieczne dane to podstawa!

Również udostępnienie danych osobom nieupoważnionym, jak i samo nienależyte zabezpieczenie tych danych może zakończyć się postawieniem zarzutów. Co istotne, nie ma tutaj znaczenia, czy naruszenia dokonano umyślnie! Stosownie bowiem do treści, odpowiednio przepisu art. 51 i 52 ustawy, zagrożone karą jest również nieumyślne spowodowanie zagrożenia bezpieczeństwa danych osobowych lub dysponowanie na rzecz osób, którym brak stosownych uprawnień.

Chodzi tutaj przede wszystkim o brak stosownych uregulowań wewnętrznych w firmie administratora. Podstawowe i najczęstsze braki w zabezpieczeniu danych dotyczą nieopracowania odpowiedniej dokumentacji, tj. Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym, obowiązkowych praktycznie dla każdego administratora danych osobowych. Również niestosowanie opracowanych w tych dokumentach procedur bezpieczeństwa, które funkcjonują często tylko na papierze, mogą skutkować pociągnięciem do odpowiedzialności.

Udostępnienie osobie nieupoważnionej często spowodowane jest brakiem wdrożenia odpowiedniego systemu upoważnień, co powoduje, że dane krążą wewnątrz organizacji bez jakiegokolwiek nadzoru. Dane płacowe dostępne są dla marketingowców, a kadry w każdej chwili mogą przeglądać listy kontrahentów.

Również brak odpowiedniej umowy o powierzeniu przetwarzania danych – zawartej w formie pisemnej i ukształtowanej w odpowiedni sposób, staje się podstawą do postawienia administratorowi zarzutów.

Pamiętaj o procedurach!

Wreszcie, zgodnie z treścią art. 53 i 54 ustawy, karane może być niedokonanie zgłoszenia rejestracji zbioru danych osobowych oraz niespełnienie obowiązku informacyjnego wobec osoby, której dane dotyczą. Kwestie wydawać by się mogło czysto formalne, stać się mogą gwoździem do trumny administratora.

Dodam też, że utrudnianie kontroli Inspektora Ochrony Danych Osobowych również jest podstawą do postawienia zarzutów.. tutaj jednak, kwestia ta nie wymaga chyba szczególnego uzasadnienia.

Powiało grozą…

Niech więc nie zwiedzie Was to, że sprawy z zakresu ochrony danych osobowych nie są tak szeroko omawiane w mediach jak przestępstwa gospodarcze lub podatkowe. Odpowiednie organy muszą stosować przepisy karne ustawy o ochronie danych osobowych i wierzcie lub nie, ale coraz częściej je stosują.