Jaką odpowiedzialność może ponieść administrator zgodnie z RODO

Autor: Marcin Sierpień
RODO oraz projektowane przepisy polskiego prawa przewidują rozbudowaną odpowiedzialność administratora. Oznacza to, że za jeden czyn związany z naruszeniem zasad ochrony danych osobowych administrator może ponieść odpowiedzialność zarówno na gruncie prawa administracyjnego, jak i cywilnego oraz karnego. Dowiedz się, z jaką odpowiedzialnością będzie musiał się liczyć administrator danych po 25 maja 2018 r.

Odpowiedzialność administracyjna

Administrator danych będzie odpowiadać za swoje czyny przed Prezesem Urzędu Ochrony Danych Osobowych (PUODO). Aby lepiej usystematyzować tego typu odpowiedzialność, można ją podzielić na odpowiedzialność:
  • merytoryczną oraz
  • finansową.
Odpowiedzialność merytoryczna wiąże się z tym, że wskutek popełnionego czynu administrator danych będzie zmuszony przez Prezesa Urzędu Ochrony Danych Osobowych do podjęcia pewnych kroków, które będą miały na celu dostosowanie przetwarzania do przepisów obowiązującego prawa. Prezes UODO ma bowiem wobec administratora tzw. uprawnienia naprawcze. Stosunkowo najlżejszym z nich może być otrzymanie upomnienia. Najbardziej uciążliwą sankcją będzie z kolei całkowity zakaz przetwarzania danych osobowych, co może rzutować na całą przyszłość organizacji.
Odpowiedzialność finansowa jest ponoszona obok lub zamiast odpowiedzialności merytorycznej. W takiej sytuacji Prezes UODO wyliczy konkretną kwotę, jaką administrator danych powinien zapłacić w ramach kary za dokonane naruszenie.
 
Aby zminimalizować wysokość kary finansowej:
  • niezwłocznie zawiadom PUODO o naruszeniu,
  • wykaż, jakie działania podjąłeś w celu zminimalizowania negatywnych skutków naruszenia,
  • współpracuj z PUODO przy usuwaniu naruszenia oraz
  • stosuj się do wszystkich środków naprawczych, jakich oczekuje od ciebie PUODO.
Przy wymierzaniu kary finansowej podstawowe znaczenia ma:
  • Twoja postawa wobec naruszenia,
  • Twoje wcześniejsze przewinienia,
  • czy spowodowanie naruszenia było umyślne,
  • skala naruszenia oraz
  • adekwatność środków wprowadzonych uprzednio w celu zabezpieczenia danych.

Odpowiedzialność cywilna

RODO wprost przewiduje możliwość ponoszenia przez administratora danych odpowiedzialności cywilnej za dokonane naruszenie. Administrator danych ponosi ją w stosunku do osoby lub osób, które zostały poszkodowane wskutek dokonanego naruszenia. W praktyce oznacza to, że ADO może zostać pozwany przed sąd cywilny, aby poniósł odpowiedzialność za wyrządzoną osobie fizycznej szkodę majątkową lub niemajątkową.
Przykład:

Szkody, które są podstawą do pociągnięcia administratora do odpowiedzialności cywilnej, mogą być różne. Można je wyrządzić, np. jeżeli:

  • wskutek wycieku z bazy danych firmy X dokumentacji aplikacyjnej kandydatów do pracy konkurencja tej firmy dowiedziała się, że jej pracownik poszukuje pracy i wręczono mu z tego powodu wypowiedzenie,
  • wskutek wycieku danych biometrycznych klientów banku, ktoś włamał się na konto bankowe osoby, której dane w tej bazie figurowały,
  • wyciek danych z portalu towarzyskiego sprawił, że niektórzy jego użytkownicy byli narażeni na poważne szykany w swoich miejscowościach.
Jeżeli szkoda zostanie udowodniona, wówczas administrator danych będzie musiał wypłacić na rzecz powoda zadośćuczynienie (w przypadku szkody niemajątkowej) lub odszkodowanie (w przypadku szkody majątkowej). Odpowiedzialność może zostać również określona i poniesiona na podstawie zawartej ugody. Obok lub zamiast zapłaty określonej kwoty administrator może zostać zobowiązany do spełnienia żądania osoby poszkodowanej, które polega na zaniechaniu konkretnego działania oraz wykonaniu czynności potrzebnych do usunięcia jego skutków. Aby uwolnić się od odpowiedzialności cywilnej, administrator musi udowodnić, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

Odpowiedzialność karna

Postępowanie karne w związku z naruszeniem ochrony danych osobowych może zostać wszczęte, jeżeli:
  • do organów ścigania wpłynie zawiadomienie o popełnieniu/podejrzeniu popełnienia przestępstwa lub
  • organy ścigania same podejmą decyzję o wszczęciu postępowania z urzędu.
Obowiązek złożenia zawiadomienia o popełnieniu przestępstwa ma każdy, przy czym w praktyce zawiadomienie takie często składa organ ds. ochrony danych osobowych w związku z konkretną skargą. Projekt ustawy o ochronie danych osobowych przewiduje przypadki, w których możliwe jest nałożenie kary grzywny, ograniczenia wolności lub pozbawienia wolności (do 2 lat, a przy naruszeniach dotyczących szczególnych kategorii danych do 3 lat). Są to:
 
  • przetwarzanie danych, pomimo że ich przetwarzanie jest niedopuszczalne,
  • przetwarzanie danych bez uprawnień,
  • udaremnianie prowadzenia kontroli dotyczącej przestrzegania przepisów o ochronie danych osobowych.
Warto mieć na względzie, że taką odpowiedzialność może ponieść nie tylko administrator danych, lecz również każda osoba naruszająca przepisy karne, czyli np. pracownik administratora.


Marcin Sierpień

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 50041 )

Array ( [docId] => 50041 )
Array ( [docId] => 50041 )