To administrator danych podejmuje decyzję o tym, jakie środki i zabezpieczenia będą u niego w jednostce wdrożone. Poza tym musi pamiętać o opracowaniu odpowiednich regulaminów pracy z systemami informatycznymi, sprzętem komputerowym, korzystania z poczty elektronicznej, pracy z nośnikami elektronicznymi zawierającymi dane osobowe oraz dokumentami w formie papierowej czy też korzystania z internetu. Ze wszystkimi tymi regulaminami należy zapoznać pracowników i inne osoby, które przetwarzają dane osobowe, bowiem to ludzie są zawsze najsłabszym ogniwem przy przetwarzaniu danych osobowych. Kto, za co i jaką karę poniesie w przypadku naruszenia przepisów dotyczących ochrony danych?
Określenie, kto jest administratorem danych, ma fundamentalne znaczenie dla przypisania mu obowiązków związanych z zapewnieniem właściwej ochrony przetwarzanych danych osobowych w jednostce. Administratorem w rozumieniu przepisów unijnego rozporządzenia o ochronie danych osobowych (tj. RODO) jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Każdy administrator danych ma obowiązek wdrożenia odpowiednich i skutecznych środków ochrony danych, a także powinien być w stanie wykazać, że czynności przetwarzania są zgodne z RODO oraz że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić spełnienie wymogów unijnego rozporządzenia.
Podmioty, które przetwarzają dane osobowe, są zobowiązane przestrzegać przepisów RODO i co za tym idzie - muszą być w stanie wykazać, że tych regulacji przestrzegają. Dlatego administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.
RODO stanowi, że w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z jego przepisami administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki - takie jak szyfrowanie - minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, a także uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych - takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
RODO w art. 83 ust. 4 i ust. 5 wprowadza wysokie kary za naruszenie jego przepisów. Przy czym są to kary, które mogą być nałożone na administratora danych lub podmiot przetwarzający, nie zaś na pracowników czy osoby upoważnione do przetwarzania danych w jednostce. Przykładowo RODO stanowi, że administracyjnej karze pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, podlega naruszenie przepisów dotyczących obowiązku administratora lub podmiotu przetwarzającego w zakresie:
Administracyjnej karze pieniężnej do 20 mln euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, podlega m.in. naruszenie:
Polska ustawa o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zakresie administracyjnych kar pieniężnych odsyła bezpośrednio do unijnego rozporządzenia, obniżając jedynie wysokość kar dla instytucji publicznych. Prezes UODO może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 tys. zł, na:
Kary pieniężne w wysokości do 10 tys. zł Prezes UODO może nakładać na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 13 ustawy o finansach publicznych, czyli na państwowe i samorządowe instytucje kultury.
Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, Prezes UODO bada:
W ramach zatrudnienia pracownika przetwarzane są liczne jego dane osobowe, a w niektórych przypadkach (np. w zakresie zgłoszenia do ubezpieczenia zdrowotnego, wypłaty świadczeń z ZFŚS) także dane członków jego rodziny. Administratorem tych danych jest pracodawca (osoba fizyczna zatrudniająca pracownika albo jednostka organizacyjna). Dane osobowe może jednak przetwarzać również każda inna osoba działająca w imieniu pracodawcy, w jakimkolwiek zakresie - kierownik działu, zespołu, oddziału, przełożony pracownik, pełnomocnik ds. ZFŚS itd.
RODO nie przewiduje kar finansowych ani innych sankcji za naruszenie jego przepisów przez pracowników administratora danych (podmiotu przetwarzającego).
Podstawowe obowiązki pracownika określa natomiast art. 100 Kodeksu pracy (Dz. U. z 2023 r. poz. 1465 ze zm.). Pracownik jest zobowiązany wykonywać pracę sumiennie i starannie oraz stosować się do poleceń przełożonych, które dotyczą pracy, jeżeli nie są one sprzeczne z przepisami prawa lub umową o pracę.
Pracownik jest zobowiązany w szczególności:
Ochrona danych osobowych, procedury z tym związane, a także wyciągnięcie ewentualnych konsekwencji za ich nieprzestrzeganie mogą zatem zostać oparte o Kodeks pracy.
W art. 108 K.p. określono środki dyscyplinarne, które można zastosować wobec pracownika. Są to przede wszystkim kary porządkowe. Za nieprzestrzeganie przez pracownika ustalonej organizacji i porządku w procesie pracy, przepisów bezpieczeństwa i higieny pracy, przepisów przeciwpożarowych, a także przyjętego sposobu potwierdzania przybycia i obecności w pracy oraz usprawiedliwiania nieobecności w pracy pracodawca może stosować karę upomnienia lub karę nagany. Za nieprzestrzeganie przez pracownika przepisów bezpieczeństwa i higieny pracy lub przepisów przeciwpożarowych, opuszczenie pracy bez usprawiedliwienia, stawienie się do pracy w stanie nietrzeźwości albo w stanie po użyciu alkoholu lub środka działającego podobnie do alkoholu lub spożywanie alkoholu lub zażywanie środka działającego podobnie do alkoholu w czasie pracy - pracodawca może również stosować karę pieniężną. Kara pieniężna za jedno przekroczenie, jak i za każdy dzień nieusprawiedliwionej nieobecności, nie może być wyższa od jednodniowego wynagrodzenia pracownika, a łącznie kary pieniężne nie mogą przewyższać dziesiątej części wynagrodzenia przypadającego pracownikowi do wypłaty, po dokonaniu wymaganych potrąceń. Kara nie może być zastosowana po upływie 2 tygodni od powzięcia wiadomości o naruszeniu obowiązku pracowniczego i po upływie 3 miesięcy od dopuszczenia się tego naruszenia. Kara może być zastosowana tylko po uprzednim wysłuchaniu pracownika. O zastosowanej karze pracodawca zawiadamia pracownika na piśmie, wskazując rodzaj naruszenia obowiązków pracowniczych i datę dopuszczenia się przez pracownika tego naruszenia oraz informując go o prawie zgłoszenia sprzeciwu i terminie jego wniesienia. Przy stosowaniu kary bierze się pod uwagę w szczególności rodzaj naruszenia obowiązków pracowniczych, stopień winy pracownika i jego dotychczasowy stosunek do pracy.
Polska ustawa o ochronie danych osobowych przewiduje kary za nieuprawnione przetwarzanie danych osobowych. Art. 107 tej ustawy stanowi, że kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeżeli czyn dotyczy danych szczególnych kategorii ujawniających np. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech. Zagrożone grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch jest również udaremnianie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.
Powyższych przestępstw może dopuścić się każdy, kto bezprawnie przetwarza dane osobowe, natomiast w zakresie przetwarzania danych przez osobę nieuprawnioną - podmiotem mogącym ponieść odpowiedzialność będzie każdy, kto nie jest uprawniony do przetwarzania danych. Z sytuacją, kiedy osoba nie jest uprawniona do przetwarzania danych, można mieć do czynienia, gdy pracownik nie otrzymał od administratora polecenia (upoważnienia), z którego by wynikało zezwolenie do przetwarzania danych, zwłaszcza gdy pracownik samowolnie przegląda dane i bezprawnie je przetwarza. Postępowanie karne może zostać wszczęte m.in. w związku z przesłaniem przez osobę trzecią zawiadomienia o podejrzeniu popełnienia przestępstwa np. przez klienta, którego dane przetwarzane są bez podstawy prawnej.
Przy czym należy pamiętać. że administrator danych, nie zaś pracownik lub osoba wykonująca zadania służbowe, jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z wymaganiami RODO. Takie stanowisko wynika z licznych decyzji UODO oraz potwierdzających je orzeczeń sądów (patrz ramka).
|
"Administrator (a nie jego pracownik) odpowiedzialny jest za przestrzeganie podstawowych zasad dotyczących ochrony danych. Z RODO wynika domniemanie odpowiedzialności administratora za naruszenie tych zasad, jako że na nim spoczywa ciężar wykazania ich przestrzegania". Wyrok WSA w Warszawie z dnia 13 maja 2021 r., sygn. akt II SA/Wa 2129/20 |
| ||||||||||||
|
||||||||||||
