Odpowiedzialność administratora danych osobowych i
Transkrypt
Odpowiedzialność administratora danych osobowych i
Odpowiedzialność administratora danych osobowych i osób przez niego upoważnionych za wyciek powierzonych danych osobowych . Administrator danych osobowych to nie tylko podmiot, którego siedziba i inne dane identyfikujące są wskazywane w regulaminie świadczenia usług drogą elektroniczną, ale również podmiot, na którym ciążą realne obowiązki . Jednym z takich obowiązków jest nakaz zabezpieczenia uzyskanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, czyli przed „wyciekiem”. Obowiązek zabezpieczania danych osobowych. Ustawowy obowiązek ochrony danych osobowych przed wyciekiem zawarty został w art. 36 ust. 1 oraz uzupełniony w art. 37 ustawy o ochronie danych osobowych. Administrator danych jest obowiązany zatem do zastosowania środków technicznych i organizacyjnych zapewniającą ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust 1 u.o.d.o.). Ponadto administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 37 u.o.d.o.). Osoby upoważnione do przetwarzania danych osobowych. Zasadniczo przetwarzać dane osobowe, a więc dokonywać na nich jakikolwiek operacji, może administrator tych danych oraz osoby przez niego upoważnione. Osobami upoważnionymi zwykle są pracownicy administratora danych osobowych. Forma i treść upoważnienia nie została określona ustawowo. Zatem upoważnienie takie może zostać nadane nawet ustnie przez administratora danych osobowych. Jednakże ciążący na administratorze obowiązek ewidencji upoważnień (art. 39 ust 1 u.o.d.o.) powoduje, że do celów dowodowych (wykazania, że dana osoba faktycznie otrzymała upoważnienie) wskazane jest udzielanie upoważnień na piśmie z precyzyjnym określeniem działań, jakie dana osoba może podejmować w zbiorze danych osobowych. Należy podkreślić, że częstym błędem administratora danych osobowych jest udzielanie upoważnienia tylko pracownikowi bezpośrednio zaangażowanemu w przetwarzanie danych osobowych (np. specjaliście do GACH, HULIST, MIZIŃSKA, WAWER – ADWOKACI I RADCOWIE PRAWNI SP.P. spraw fakturowania) z pominięciem przełożonego takiego pracownika, który nadzorując pracę swojego podwładnego może mieć incydentalny dostęp do danych osobowych. Należy również pamiętać, że we wskazanej powyżej ewidencji upoważnień administrator powinien również odnotowywać datę wygaśnięcia danego upoważnienia (data ta może przykładowo pokrywać się z datą wygaśnięcia okresowej umowy o pracę). Powoduje to konieczność okresowej kontroli ewidencji pod kątem czy wszystkie upoważnienia są ważne oraz czy wszystkie upoważnione osoby są nadal zatrudnione u administratora danych osobowych. Niestety, często ewidencja upoważnień nie zawiera aktualnych danych. Osoba, która otrzymała od administratora upoważnienie do przetwarzania danych osobowych zobowiązana jest równocześnie do zachowania tych danych oraz sposobów i zabezpieczenia w tajemnicy (art. 39 ust 2 u.o.d.o.) Odpowiedzialność karna Obowiązek zachowania danych osobowych w tajemnicy oznacza zakaz ich ujawniania innym osobom, przekazywania, wykorzystywania. Naruszenie tego obowiązku może skutkować odpowiedzialnością karną przewidzianą art. 51 u.o.d.o. Zgodnie z tym przepisem: „1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.” Za omawiane przestępstwo może odpowiadać administrator danych osobowych lub osoba przez niego upoważniona. Zgodnie z tym przepisem „udostępnienie danych osobowych” polega na ich przekazaniu osobie nieuprawnionej. Natomiast "umożliwienie dostępu" może polegać m.in. na ujawnieniu kodu dostępu do zbioru danych osobowych. Oznacza to, że odpowiedzialność karna w przypadku „umożliwienia dostępu” nie jest uzależniona od tego czy osoba nieuprawniona zapoznała się faktycznie z danymi, czy tylko miała taką możliwość. Nie można wykluczyć, że w przypadku „wycieku” danych osobowych organ prowadzący postępowanie karne zastosuje kumulatywną kwalifikację czynu i obok omawianego art. 51 ust. 1 u.o.d.o. wskaże również art. 266 § 1 kodeksu karnego. W świetle tego ostatniego przepisu, kto wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Ponadto administrator danych osobowych może odpowiadać za niezachowanie wymaganych środków zabezpieczeń. Zgodnie bowiem z art. 52 u.o.d.o. „kto administrując danymi narusza GACH, HULIST, MIZIŃSKA, WAWER – ADWOKACI I RADCOWIE PRAWNI SP.P. choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.” Należy pokreślić, że do przyjęcia odpowiedzialności na podstawie tego przepisu nie jest wystarczające, aby osoba nieupoważniona uzyskała dostęp do danych osobowych, ale konieczne jest wystąpienie skutku w postaci ich „zabrania”, „uszkodzenia” lub „zniszczenia”. Wykładnia literalna tych znamion prowadzi do wniosku, że samo skopiowanie danych przez osobę nieupoważnioną bez naruszania ich integralności nie rodzi odpowiedzialności na podstawie tego przepisu. Na marginesie należy zwrócić uwagę, że art. 52 u.o.d.o dotyczy tylko administratora danych osobowych, a zatem nie można przypisać tego przestępstwa osobom przez niego upoważnionym. Odpowiedzialność cywilna Ujawnienie danych osobowych osobom nieupoważnionym może rodzić odpowiedzialność cywilną. Możliwe są dwie podstawy takiej odpowiedzialności: deliktowa oraz z tytułu naruszenia dóbr osobistych. Ogólnym przepisem regulującym odpowiedzialność deliktową jest art. 415 kodeksu cywilnego, który stanowi, że „kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia”. Zatem, jeżeli w wyniku niedopełnienia przez administratora danych osobowych lub osoby przez niego upoważnione obowiązków zachowania danych w tajemnicy osoba, której te dane dotyczą poniosła jakąś szkodę na swoim majątku (np. ujawnione dane osobowe zostały wykorzystane do zaciągnięcia zobowiązania, zawarcia umowy) to może ona domagać się naprawienia tej szkody. Ponadto ujawnienie niektórych danych osobowych może naruszać prywatność osób, których dotyczą. Przykładowo ujawnienie adresu poczty elektronicznej może skutkować zwiększeniem ilości spamu albo wyciek danych medycznych (diagnostyki nowotworowej) co spowoduje, że dana osoba stanie się celem agentów ubezpieczeniowych. W takich sytuacjach osoba, której dane zostały ujawnione może na podstawie art. 24 kodeksu cywilnego domagać się od administratora danych osobowych zaniechania zachowania w wyniku, którego ujawnione zostały dane osobowe, przeproszenia lub podjęcia innych czynności mających na celu usunięcie skutków ujawnienia danych osobowych. Ponadto osoba taka może żądać zapłaty zadośćuczynienia za cierpienia psychiczne spowodowane ujawnieniem jej danych osobowych lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. GACH, HULIST, MIZIŃSKA, WAWER – ADWOKACI I RADCOWIE PRAWNI SP.P. Mimo, że doprowadzenie do wycieku danych osobowych jest obwarowane surowymi sankcjami (odpowiedzialność karna pod groźbą kary pozbawienia wolności do 2 lat) oraz może wiązać się z dotkliwymi konsekwencjami finansowymi (odpowiedzialność cywilna) praktyka zabezpieczania danych osobowych pozostawia wiele do życzenia. Wielu przedsiębiorców w ogóle nie upoważnia swoich pracowników do przetwarzania danych osobowych kontrahentów lub klientów, a jeśli nawet to robi to nie aktualizuje ewidencji upoważnień. W konsekwencji jeśli dochodzi do wycieku danych osobowych, przedsiębiorcy tacy nie są wstanie nawet ustalić kręgu osób potencjalnie odpowiedzialnych, w konsekwencji sami, jako administratorzy danych muszą ponieść konsekwencje udostępnienia danych osobom nieupoważnionym. Autor: Benedykt Baliga, aplikant radcowski w Kancelarii GACH, HULIST, MIZIŃSKA, WAWER – adwokaci i radcowie prawni sp.p. (www.ghmw.pl) Jeśli byliby Państwo zainteresowani przeanalizowaniem tej kwestii prosimy o kontakt z naszymi ekspertami. Osoby kontaktowe: Joanna Mizińska, adwokat partner w kancelarii „Gach Hulist Mizińska Wawer - adwokaci i radcowie prawni” sp.p. +48 668 017 220 e-mail: [email protected]