Odpowiedzialność prawna za dane osobowe w firmie

Przeczytaj także: Zgoda na przetwarzanie danych osobowych

W sprawach poważniejszych przetwarzanie danych osobowych chronione jest znacznie surowszymi przepisami karnymi, którym poświęcony jest Rozdział 8 ustawy. Poza nimi jest jeszcze odpowiedzialność cywilna wynikająca z Kodeksu cywilnego, na podstawie którego uprawnione osoby mogą domagać się zadośćuczynienia w związku z naruszeniem ich dóbr osobistych lub odszkodowania za szkodę jaka powstała na skutek niezgodnego z prawem przetwarzania.

W zależności od rodzaju prowadzonej działalności dane osobowe mogą jednocześnie stanowić tajemnice prawnie chronione np. tajemnicę bankową, ubezpieczeniową, zawodową funduszy emerytalnych i inwestycyjnych, lekarską, statystyczną, dziennikarską, adwokacką, radcowską oraz państwową i służbową, których ujawnienie może być penalizowane (karane) na podstawie odrębnych ustaw.

Zadaniem tej części książki jest przybliżenie czytelnikowi zagadnień związanych z odpowiedzialnością prawną, administracyjną i cywilną. Nie stanowi ona komentarza do obowiązującego prawa, jej zadaniem jest zarysowanie odpowiedzialności prawnej związanej z przetwarzaniem danych osobowych.

Podział odpowiedzialności

Zanim przejdę do omówienia poszczególnych rodzajów odpowiedzialności warto przeanalizować kto i za co odpowiada w świetle ustawy o ochronie danych osobowych.

Przedsiębiorca – administrator danych

Przedsiębiorca jako administrator danych osobowych jest odpowiedzialny w całości za wdrożenie zadań i procesów wynikających z ustawy o ochronie danych osobowych i aktów wykonawczych do niej, za ich prawidłowe funkcjonowanie oraz pełnienie nad nimi nadzoru. Jest on głównym adresatem ustawy i ponosi odpowiedzialność za wszystko co wiąże się ze spełnieniem wymogów ustawowych. Może niektóre ze swoich zadań delegować, ale i tak, niezależnie od tego, kto będzie je wykonywał, to on odpowiada za te działania. Co więcej, odpowiada nawet za działania podmiotów którym powierzył w drodze umowy przetwarzanie danych osobowych (art. 31 ust. 4):

W przypadkach, o których mowa w ust. 1–3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

Administrator bezpieczeństwa informacji

W imieniu przedsiębiorcy nadzór nad ochroną danych osobowych, a więc swojego rodzaju „monitoring” może prowadzić administrator bezpieczeństwa informacji (ABI). Nie zwalnia to jednak przedsiębiorcy w tym zakresie z odpowiedzialności, gdyż ABI wykonuje zadania wyłącznie w imieniu administratora danych (przedsiębiorcy). Gdy nie wywiązuje się ze swoich zadań, odpowiada bezpośrednio przed administratorem danych. Jego odpowiedzialność może być pracownicza gdy jest zatrudniony na podstawie umowy o pracę – w razie niedopełnienia obowiązków można go upomnieć, udzielić nagany albo (w przypadkach wskazanych w Kodeksie pracy) również zwolnić. Jeśli obowiązki pełni na podstawie umowy innej niż umowa o pracę (np. umowa zlecenie albo zlecenie zadań innej firmie), jego odpowiedzialność względem administratora danych będzie na zasadach ogólnych, wynikających z kodeksu cywilnego.

Zleceniobiorca – procesor

Podmiot, któremu zostały powierzone dane osobowe do przetwarzania odpowiedzialny jest za zabezpieczenie danych, które mu powierzono, a odpowiedzialność za to ponosi tak jak administrator danych (art. 31 ust. 3). Odpowiada on za stosowanie zapisów ustawy określonych w art. 36–39a, ale warto zauważyć, że przedsiębiorca odpowiada za nadzorowanie procesora zakresie stosowania tych zapisów (art. 31 ust. 4).