Odpowiedzialność administratora danych osobowych i

Odpowiedzialność administratora danych osobowych i osób przez niego
upoważnionych za wyciek powierzonych danych osobowych .
Administrator danych osobowych to nie tylko podmiot, którego siedziba i inne dane
identyfikujące są wskazywane w regulaminie świadczenia usług drogą elektroniczną, ale
również podmiot, na którym ciążą realne obowiązki . Jednym z takich obowiązków jest nakaz
zabezpieczenia uzyskanych danych osobowych przed ich udostępnieniem osobom
nieupoważnionym, czyli przed „wyciekiem”.
Obowiązek zabezpieczania danych osobowych.
Ustawowy obowiązek ochrony danych osobowych przed wyciekiem zawarty został w art. 36
ust. 1 oraz uzupełniony w art. 37 ustawy o ochronie danych osobowych. Administrator
danych jest obowiązany zatem do zastosowania środków technicznych i organizacyjnych
zapewniającą ochronę przetwarzanych danych osobowych przed ich udostępnieniem
osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem
z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust 1
u.o.d.o.). Ponadto administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie
dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są
przekazywane (art. 37 u.o.d.o.).
Osoby upoważnione do przetwarzania danych osobowych.
Zasadniczo przetwarzać dane osobowe, a więc dokonywać na nich jakikolwiek operacji, może
administrator tych danych oraz osoby przez niego upoważnione. Osobami upoważnionymi
zwykle są pracownicy administratora danych osobowych. Forma i treść upoważnienia nie
została określona ustawowo. Zatem upoważnienie takie może zostać nadane nawet ustnie
przez administratora danych osobowych. Jednakże ciążący na administratorze obowiązek
ewidencji upoważnień (art. 39 ust 1 u.o.d.o.) powoduje, że do celów dowodowych
(wykazania, że dana osoba faktycznie otrzymała upoważnienie) wskazane jest udzielanie
upoważnień na piśmie z precyzyjnym określeniem działań, jakie dana osoba może
podejmować w zbiorze danych osobowych. Należy podkreślić, że częstym błędem
administratora danych osobowych jest udzielanie upoważnienia tylko pracownikowi
bezpośrednio zaangażowanemu w przetwarzanie danych osobowych (np. specjaliście do
GACH, HULIST, MIZIŃSKA, WAWER – ADWOKACI I RADCOWIE PRAWNI SP.P.
spraw fakturowania) z pominięciem przełożonego takiego pracownika, który nadzorując
pracę swojego podwładnego może mieć incydentalny dostęp do danych osobowych. Należy
również pamiętać, że we wskazanej powyżej ewidencji upoważnień administrator powinien
również odnotowywać datę wygaśnięcia danego upoważnienia (data ta może przykładowo
pokrywać się z datą wygaśnięcia okresowej umowy o pracę). Powoduje to konieczność
okresowej kontroli ewidencji pod kątem czy wszystkie upoważnienia są ważne oraz czy
wszystkie upoważnione osoby są nadal zatrudnione u administratora danych osobowych.
Niestety, często ewidencja upoważnień nie zawiera aktualnych danych.
Osoba, która otrzymała od administratora upoważnienie do przetwarzania danych
osobowych zobowiązana jest równocześnie do zachowania tych danych oraz sposobów i
zabezpieczenia w tajemnicy (art. 39 ust 2 u.o.d.o.)
Odpowiedzialność karna
Obowiązek zachowania danych osobowych w tajemnicy oznacza zakaz ich ujawniania innym
osobom, przekazywania, wykorzystywania. Naruszenie tego obowiązku może skutkować
odpowiedzialnością karną przewidzianą art. 51 u.o.d.o. Zgodnie z tym przepisem:
„1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych
udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do roku.”
Za omawiane przestępstwo może odpowiadać administrator danych osobowych lub osoba
przez niego upoważniona. Zgodnie z tym przepisem „udostępnienie danych osobowych”
polega na ich przekazaniu osobie nieuprawnionej. Natomiast "umożliwienie dostępu" może
polegać m.in. na ujawnieniu kodu dostępu do zbioru danych osobowych. Oznacza to, że
odpowiedzialność karna w przypadku „umożliwienia dostępu” nie jest uzależniona od tego
czy osoba nieuprawniona zapoznała się faktycznie z danymi, czy tylko miała taką możliwość.
Nie można wykluczyć, że w przypadku „wycieku” danych osobowych organ prowadzący
postępowanie karne zastosuje kumulatywną kwalifikację czynu i obok omawianego art. 51
ust. 1 u.o.d.o. wskaże również art. 266 § 1 kodeksu karnego. W świetle tego ostatniego
przepisu, kto wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub
wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną
pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat 2.
Ponadto administrator danych osobowych może odpowiadać za niezachowanie wymaganych
środków zabezpieczeń. Zgodnie bowiem z art. 52 u.o.d.o. „kto administrując danymi narusza
GACH, HULIST, MIZIŃSKA, WAWER – ADWOKACI I RADCOWIE PRAWNI SP.P.
choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę
nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do roku.” Należy pokreślić, że do przyjęcia
odpowiedzialności na podstawie tego przepisu nie jest wystarczające, aby osoba
nieupoważniona uzyskała dostęp do danych osobowych, ale konieczne jest wystąpienie
skutku w postaci ich „zabrania”, „uszkodzenia” lub „zniszczenia”. Wykładnia literalna tych
znamion prowadzi do wniosku, że samo skopiowanie danych przez osobę nieupoważnioną
bez naruszania ich integralności nie rodzi odpowiedzialności na podstawie tego przepisu. Na
marginesie należy zwrócić uwagę, że art. 52 u.o.d.o dotyczy tylko administratora danych
osobowych, a zatem nie można przypisać tego przestępstwa osobom przez niego
upoważnionym.
Odpowiedzialność cywilna
Ujawnienie danych osobowych osobom nieupoważnionym może rodzić odpowiedzialność
cywilną. Możliwe są dwie podstawy takiej odpowiedzialności: deliktowa oraz z tytułu
naruszenia dóbr osobistych.
Ogólnym przepisem regulującym odpowiedzialność deliktową jest art. 415 kodeksu
cywilnego, który stanowi, że „kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do
jej naprawienia”. Zatem, jeżeli w wyniku niedopełnienia przez administratora danych
osobowych lub osoby przez niego upoważnione obowiązków zachowania danych w
tajemnicy osoba, której te dane dotyczą poniosła jakąś szkodę na swoim majątku (np.
ujawnione dane osobowe zostały wykorzystane do zaciągnięcia zobowiązania, zawarcia
umowy) to może ona domagać się naprawienia tej szkody.
Ponadto ujawnienie niektórych danych osobowych może naruszać prywatność osób, których
dotyczą. Przykładowo ujawnienie adresu poczty elektronicznej może skutkować
zwiększeniem ilości spamu albo wyciek danych medycznych (diagnostyki nowotworowej) co
spowoduje, że dana osoba stanie się celem agentów ubezpieczeniowych. W takich
sytuacjach osoba, której dane zostały ujawnione może na podstawie art. 24 kodeksu
cywilnego domagać się od administratora danych osobowych zaniechania zachowania w
wyniku, którego ujawnione zostały dane osobowe, przeproszenia lub podjęcia innych
czynności mających na celu usunięcie skutków ujawnienia danych osobowych. Ponadto
osoba taka może żądać zapłaty zadośćuczynienia za cierpienia psychiczne spowodowane
ujawnieniem jej danych osobowych lub zapłaty odpowiedniej sumy pieniężnej na wskazany
cel społeczny.
GACH, HULIST, MIZIŃSKA, WAWER – ADWOKACI I RADCOWIE PRAWNI SP.P.
Mimo, że doprowadzenie do wycieku danych osobowych jest obwarowane surowymi
sankcjami (odpowiedzialność karna pod groźbą kary pozbawienia wolności do 2 lat) oraz
może wiązać się z dotkliwymi konsekwencjami finansowymi (odpowiedzialność cywilna)
praktyka zabezpieczania danych osobowych pozostawia wiele do życzenia. Wielu
przedsiębiorców w ogóle nie upoważnia swoich pracowników do przetwarzania danych
osobowych kontrahentów lub klientów, a jeśli nawet to robi to nie aktualizuje ewidencji
upoważnień. W konsekwencji jeśli dochodzi do wycieku danych osobowych, przedsiębiorcy
tacy nie są wstanie nawet ustalić kręgu osób potencjalnie odpowiedzialnych, w konsekwencji
sami, jako administratorzy danych muszą ponieść konsekwencje udostępnienia danych
osobom nieupoważnionym.
Autor:
Benedykt Baliga, aplikant radcowski w Kancelarii GACH, HULIST, MIZIŃSKA, WAWER – adwokaci i radcowie
prawni sp.p.
(www.ghmw.pl)
Jeśli byliby Państwo zainteresowani przeanalizowaniem tej kwestii prosimy o kontakt
z naszymi ekspertami.
Osoby kontaktowe:
Joanna Mizińska, adwokat
partner w kancelarii „Gach Hulist Mizińska Wawer - adwokaci i radcowie prawni” sp.p.
+48 668 017 220
e-mail: [email protected]