- Reklama -
czwartek, 28 marca 2024
- Reklama -
Więcej
    Strona głównaPrawoDokumentacja przetwarzania danych osobowych - ochrona przed karami

    Dokumentacja przetwarzania danych osobowych – ochrona przed karami

    Wysokie kary finansowe jak i odpowiedzialność karna mogą być skutkiem braku wdrożenia dokumentacji. Każda firma zatrudniająca choćby 1 pracownika, musi dysponować dokumentacją przetwarzania danych osobowych.

    1. 1. Sankcje administracyjne (grzywny nakładane przez GIODO)

    Od dnia 7 marca 2011 r. zgodnie ze znowelizowanym art. 12 pkt 3 ustawy o ochronie danych osobowych, GIODO może nakładać na podmioty, które nie wykonują jego decyzji administracyjnych (np. decyzji nakazującej usunięcie wybranych naruszeń), grzywny w celu przymuszenia. Grzywny egzekwowane są w trybie ustawy o postępowaniu egzekucyjnym w administracji.

    Zgodnie z art. 121 ustawy o postępowaniu egzekucyjnym w administracji, wysokość grzywy wynosi:

    – dla osób prawnych do 50 000 zł za każde uchybienie, ale nie więcej niż 200 000 zł w jednym postępowaniu egzekucyjnym

    – dla osób fizycznych do 10 000 zł za każde uchybienie, ale nie więcej niż 50 000 zł w jednym postępowaniu egzekucyjnym art. 12 ustawy o ochronie danych osobowych

    Do zadań Generalnego Inspektora w szczególności należy:

    1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,

    2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych,

    3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm.3), (…) art. 121 ustawy o postępowaniu egzekucyjnym w administracji

    § 1. Grzywna w celu przymuszenia może być nakładana kilkakrotnie w tej samej lub wyższej kwocie, z zastrzeżeniem § 4. § 2. Z zastrzeżeniem § 5 każdorazowo nałożona grzywna nie może przekraczać kwoty 10 000 zł, a w stosunku do osób prawnych i jednostek organizacyjnych nie posiadających osobowości prawnej kwoty 50 000 zł.

    § 3. Grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 000 zł, a w stosunku do osób prawnych i jednostek organizacyjnych nie posiadających osobowości prawnej kwoty 200 000 zł.(…)

    1.2. Odpowiedzialność karna

    Zgodnie z art. 49 ust. 1 ustawy o ochronie danych osobowych, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

    Jest to umyślne przestępstwo formalne ścigane z urzędu. Przestępstwo określone w powyższym artykule dotyczy po pierwsze sytuacji, w której przetwarza się dane osób, które nie wyraziły prawidłowej zgody, a brak jest ustawowej przesłanki legalizującej takie przetwarzanie (jak np. art. 23 ust. 4 pkt 1 dopuszczający przetwarzanie w celu marketingu bezpośredniego własnych produktów lub usług, co opisane jest w rozdziale 1 lit. d niniejszego dokumentu) Po drugie, ten sam przepis dotyczy sytuacji, w której istnieje przesłanka w postaci zgody lub ustawowego przepisu legalizującego przetwarzanie danych, lecz osoba która takiego przetwarzania dokonuje nie jest do tej czynności uprawniona (nie posiada odpowiedniego upoważnienia, lub nie jest administratorem danych a nie zawarła umowy powierzenia przetwarzania danych zgodnie z art. 31 ustawy o ochronie danych osobowych).

    Odpowiedzialności karnej podlegać może w szczególności administrator bezpieczeństwa informacji, co nie wyklucza odpowiedzialności innych osób (w tym szeregowych pracowników), jeżeli dopuszczają się oni zachowań, które można określić mianem „przetwarzania”. Nie zachodzi określone w powyższym przepisie przestępstwo, jeżeli dane osobowe są nieuporządkowane (nie posiadają struktury), ponieważ sankcja karna obejmuje jedynie przetwarzanie „zbioru” danych, natomiast nieuporządkowany zestaw danych nie jest ”zbiorem” w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych. Powyższy przepis obejmuje również swym zakresem sytuację, w której dane osobowe są przetwarzane, pomimo niedopuszczalności ich przetwarzania. Niedopuszczalność przetwarzania danych osobowych zachodzi w sytuacji, gdy w związku z brzmieniem art. 1 ust. 2, dane są przetwarzane w zbiorze poza trybem przewidzianym w ustawie – natomiast za tryb przewidziany w ustawie należy rozumieć, oprócz wymagań w zakresie zabezpieczenia danych oraz uzyskania zgodnych z prawem przesłanek ich przetwarzania – także prowadzenie dokumentacji, o której mowa w art. 36 ust. 2 oraz rozporządzeniu wykonawczym do art. 39a ustawy o ochronie danych osobowych. Skoro zatem wyżej wymienione rozporządzenie wymaga wdrożenia polityki bezpieczeństwa oraz, w przypadku przetwarzania danych w systemie informatycznym, instrukcji zarządzania systemem informatycznym – to brak tych dokumentów w przedsiębiorstwie, w którym przetwarza się dane osobowe oznaczać będzie popełnienie przestępstwa opisanego w art. 49 ust. 1 ustawy o ochronie danych osobowych – polegającego na przetwarzaniu danych osobowych pomimo jego niedopuszczalności.Zgodnie z art. 51 ust.1 ustawy o ochronie danych, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Przestępstwo powyżej określone jest przestępstwem formalnym, umyślnym, ściganym z urzędu – natomiast ust. 2 tego przepisu przewiduje wariant nieumyślny popełnienia tego przestępstwa (zagrożony karą pozbawienia wolności do roku).

    Popełnić je może w szczególności osoba, której przysługują kompetencje decyzyjne odnośnie zarządzania zbiorem, co nie wyklucza odpowiedzialności pracownika wykonującego polecenie służbowe w charakterze współdziałającego.

    Zgodnie z art. 53 ustawy o ochronie danych osobowych, kto administrując danymi narusza, choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Jest to przestępstwo formalne, ścigane z urzędu, mogące zostać popełnione także nieumyślnie. Do jego zaistnienia dochodzi w momencie niezastosowania odpowiednich środków bezpieczeństwa dotyczących przetwarzanych danych. Odpowiedzialności z powyższego przepisu podlega jedynie administrator danych, co więcej, w odróżnieniu od odpowiedzialności przewidzianej w art. 49 oraz art. 51 nie jest konieczne istnienie zbioru danych (uporządkowanego zestawu danych) dla zaistnienia przestępstwa. Z powyższego przepisu wynika obowiązek dołożenia szczególnej staranności do zabezpieczenia danych osobowych.

    Zgodnie z art. 53 ustawy o ochronie danych osobowych, kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Jest to przestępstwo umyślne, formalne, ścigane z urzędu, podmiotem obarczonym odpowiedzialnością jest w tym przypadku administrujący danymi osobowymi. Przestępstwo to następuje w wyniku zaniechania, jeżeli podmiot nie zgłaszając zbioru do rejestracji przetwarza dane osobowe, których obowiązek rejestracji nie jest wyłączony na mocy art. 43 ust. 1 ustawy o ochronie danych osobowych.

    Zgodnie z art. 54 ustawy o ochronie danych osobowych, kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

    Jest to przestępstwo umyślne, formalne, ścigane z urzędu. Podobnie jak przy art. 51 ustawy o ochronie danych osobowych, odpowiedzialnością jest tu osoba administrująca zbiorem danych, zachowują więc aktualność uwagi poczynione odnoście podmiotu ponoszącego odpowiedzialność poczynione w odniesieniu do art. 51.

    Odpowiedzialności będzie podlegać administrujący zbiorem, który nie wykonuje przewidzianych w art. 24 i art. 25 obowiązków informacyjnych – odpowiednim elementem na wyeliminowanie odpowiedzialności z tego przepisu będzie zawarcie wymaganych w art. 24 i art. 25 ustawy o ochronie danych osobowych informacji w dokumentach typu: „polityka prywatności”, lub też „warunki korzystania z serwisu” itp. obowiązek informacyjny jest bowiem niezależny od obowiązku uzyskania przewidzianych prawem zgód. Art. 54 dotyczy także sytuacji, w której administrujący zbiorem choćby ignoruje wniosek osoby, której dane osobowe są przetwarzane zgłoszony na podstawie art. 33 ustawy o ochronie danych. Podobnie odpowiedzialności z tego przepisu podlegać będzie administrujący zbiorem w przypadku zignorowania sprzeciwu wniesionego na podstawie art. 32 ust 1 pkt 8 ustawy. – należy zatem pamiętać, by odpowiednio reagować na wszelkie pisma składane przez osoby, których dane są przetwarzane.

    Zgodnie z art. 54a ustawy o ochronie danych osobowych, kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Powyższy przepis odwołuje się do „czynności kontrolnej” natomiast, zgodnie z art.14 pkt 1 ustawy o ochronie danych osobowych inspektorowi przysługuje prawo wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań oraz innych niezbędnych czynności. Chociaż w praktyce najczęściej kontrole GIODO są uprzednio zapowiedziane, to nie można wykluczyć sytuacji, w której kontrola jest niezapowiedziana. Odnosząc się do przestępstwa ujętego w powyższym przepisie, wszelkie działania, które inspektor będzie miał prawo uznać za utrudnianie kontroli może skutkować powiadomieniem przez inspektora prokuratury, a w efekcie odpowiedzialnością karną z wyżej wymienionego przepisu.

    Wszelkie Prawa zastrzeżone – RBDO.PL
    Rejestracja Baz Danych Osobowych
    www.rbdo.pl

    POWIĄZANE ARTYKUŁY
    - Reklama -

    NAJPOPULARNIEJSZE