Odpowiedzialność karna pracownika przy przetwarzaniu danych osobowych

Przyjęło się, że odpowiedzialność karną w związku z naruszeniem przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej UODO) przypisuje się wyłącznie zarządowi (w przypadku spółek) albo właścicielowi firmy (w przypadku jednoosobowej działalności gospodarczej). Tego typu stanowisko często głoszą sami pracownicy na szkoleniach, które mam okazję od czasu do czasu prowadzić i niestety zawsze w takiej sytuacji muszę wyprowadzić słuchaczy z błędu.
Otóż odpowiedzialność karną ponoszą zawsze oznaczone osoby fizyczne, którym ta odpowiedzialność może zostać przypisana, zgodnie z zasadami prawa karnego materialnego i procesowego. W niniejszym artykule chciałbym się skupić na dwóch, moim zdaniem, najważniejszych przepisach karnych, których naruszenie jest wysoce prawdopodobne i które – jak pokazują badania zamieszczone w komentarzu P. Barty i P. Litwińskiego (P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2009) – kończą się wyrokiem skazującym. Przepisy te zostały zamieszczone odpowiednio w art. 51 i 52 UODO.

Udostępnienie danych osobom nieuprawnionym

Na początek może warto przytoczyć treść art. 51 UODO. Otóż „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”. W ust. 2 do tego przepisu dodano, że przestępstwo to może zostać popełnione również nieumyślnie i wówczas sankcja w postaci pozbawienia wolności została skrócona do roku.  Wskazane tu przestępstwo może zostać popełnione tak przez osobę administrującą danymi osobowymi (zgodnie z wykładnią Sądu Najwyższego taką osobą będzie ten kto zarządza, zawiaduje zbiorem danych lub danymi w procesie ich przetwarzania) jak i przez osobę zobowiązaną do ochrony danych osobowych (zdaniem ww. autorów komentarza takimi osobami będą osoby fizyczne przetwarzające dane osobowe na podstawie upoważnienia nadanego przez administratora danych zgodnie z art. 37 UODO). Przestępstwo z opisywanego przepisu można popełnić na dwa sposoby – poprzez udostępnienie danych osobowych albo poprzez umożliwienie dostępu do nich. Udostępnić dane można np. innemu administratorowi danych (tu: bez spełnienia którejś z przesłanek wskazanych w art. 23 ust. 1 UODO). Przestępstwo będzie popełnione także wówczas gdy nie wystąpiła szkoda po stronie osoby, której dane dotyczą ani też gdy ten, który „nielegalnie” otrzymał dane, nie zapoznał się z nimi.

Naruszenie obowiązku zabezpieczenia danych

Jeśli chodzi o art. 52 to przewidziana w nim sankcja wygląda następująco: „Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”. Przestępstwo, o którym tu mowa, może zostać popełnione przez każdą osobę, która zarządza, zawiaduje danymi osobowymi w procesie ich przetwarzania. Krótko mówiąc – sankcja ta nie musi dotyczyć wyłącznie administratora danych czy też podmiotu, któremu powierzono dane do przetwarzania w trybie art. 31 UODO.

Dodaj komentarz