SŁóW KILKA O OBOWIĄZKACH WYNIKAJĄCYCH Z PRZEPISóW O OCHRONIE DANYCH OSOBOWYCH

W połowie roku ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (zwana dalej: u.o.d.o.) uległa nowelizacji. Nowością jaką ustawodawca zdecydował się wprowadzić do polskiego systemu prawnego jest instytucja tzw. administratora bezpieczeństwa informacji, czyli osoby odpowiedzialnej u danego administratora danych osobowych za nadzór nad przestrzeganiem przepisów związanych z ochroną danych osobowych. Ponadto, na administratora danych osobowych nałożono kilka nowych obowiązków w zakresie prowadzenia dokumentacji zapewniającej odpowiednie standardy ochrony danych. Warto też wspomnieć o kilku istotnych obowiązkach istniejących już od dawna.

Administrator danych osobowych (zwany dalej: „ADO”)  w rozumieniu u.o.d.o. to podmiot (np. spółka z o.o.) decydujący o celach i środkach przetwarzania danych osobowych, natomiast administrator bezpieczeństwa informacji (zwany dalej: „ABI”) to osoba, która może zostać powołana przez ADO spośród swoich pracowników lub z zewnątrz, a której to zadaniem w myśl art. 36a u.o.d.o. jest zapewnienie przestrzegania przepisów o ochronie danych osobowych, m.in. poprzez: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO, b) nadzorowanie opracowania i aktualizowania dokumentacji, oraz przestrzegania zasad w niej określonych, c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Kolejnym zadaniem ABI jest prowadzenie rejestru zbiorów, które są swego rodzaju obligatoryjnym novum. Dokładne zasady i wytyczne odnośnie prowadzenia takiego rejestru zbiorów zostały drobiazgowo sprecyzowane w rozporządzeniu ministra administracji i cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych z dnia 11 Maja 2015 r. Powołanie ABI jest uprawnieniem, a nie obowiązkiem ADO. Jednakże jeżeli ADO nie zdecyduje się powołać ABI, będzie zmuszony sam wykonywać jego zadania, z wyjątkiem opracowywania sprawozdań po przeprowadzonych wewnętrznych audytach.

W tym miejscu warto przypomnieć o wybranych  obowiązkach ciążących na administratorach danych jeszcze przed nowelizacją, a o istnieniu których bardzo często przedsiębiorcy nie zdają sobie sprawy. Jednym z takich obowiązków jest opracowanie i posiadanie przez ADO specjalnych dokumentów z zakresu ochrony danych osobowych: Polityki bezpieczeństwa informacji oraz Instrukcji zarządzania systemem informatycznym (o ile ADO posiada system informatyczny, w którym przetwarza dane osobowe). Kolejne powinności to np.: obowiązek nadawania przez ADO upoważnień do przetwarzanie danych osobowych (art. 37 u.o.d.o.), prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych (art. 38 u.o.d.o.), zawieranie z podmiotami zewnętrznymi, którym powierza się przetwarzanie danych osobowych (np. firmom informatycznym) specjalnych umów o powierzeniu przetwarzania danych osobowych (art. 31 u.o.d.o.) czy też zgłaszanie niektórych zbiorów danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 i następne u.o.d.o.).

Powstaje pytanie jakie sankcje grożą ADO za naruszenie przepisów ustawy o ochronie danych osobowych. Konsekwencje prawne należy rozpatrywać na trzech płaszczyznach, a mianowicie administracyjnej, karnej oraz cywilnej. W przypadku „konsekwencji administracyjnoprawnych” władny do ich wymierzania jest Generalny Inspektor Ochrony Danych Osobowych, który na podstawie art. 18 u.o.d.o. w drodze decyzji administracyjnej może nakazać przywrócenie stanu zgodnego z prawem, a w szczególności nakazać: 1) usunięcie uchybień; 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych; 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe; 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego; 5) zabezpieczenie danych lub przekazanie ich innym podmiotom; 6) usunięcie danych osobowych. Na podstawie aktualnie obowiązujących przepisów u.o.d.o. Generalny Inspektor Ochrony Danych Osobowych nie może wymierzać kar pieniężnych z tytułu naruszeń przepisów przedmiotowej ustawy. Jedynie w sytuacji, gdy ADO po wydaniu decyzji nakazującej np. usunięcie określonych danych osobowych nie zastosuje się do tego obowiązku, wtedy dopiero na etapie postępowanie egzekucyjnego w administracji można takiemu podmiotowi wymierzać tzw. grzywny w celu przymuszenia, których łączna wartość nie może przekroczyć kwoty 50 000 zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej kwoty 200 000 zł. Natomiast sankcje karne za naruszenie przepisów o ochronie danych osobowych zostały unormowane w Rozdziale 8 u.o.d.o., jednakże jak pokazuje praktyka stosowanie sankcji karnych jest raczej rzadkością i co do zasady ma miejsce w przypadkach rażących i umyślnych naruszeń. Wydaje się, iż najbardziej dotkliwą sankcją jaka może dotknąć ADO za naruszenie przepisów dotyczących ochrony danych osobowych jest odpowiedzialność na gruncie prawa cywilnego, a dokładnie rzecz biorąc roszczenia konstruowane na podstawie np. art. 24 lub 415 kodeksu cywilnego. Może bowiem się tak zdarzyć, iż w przedsiębiorstwie dojdzie do nieautoryzowanego udostępniania osobie trzeciej ważnych czy też wrażliwych danych osobowych klienta lub pracownika, w takiej sytuacji podmioty te mogą formułować żądania naprawienia szkody lub zapłaty zadośćuczynienia za doznaną krzywdę.

Tytułem podsumowania należy zauważyć, że ustawodawca w wyniku ostatniej nowelizacji nałożył na administratorów danych osobowych kolejne obowiązki mające na celu wzmocnić ochronę danych osobowych. Jest to zaskakujące, zważywszy na fakt iż nie znowelizowano dotychczasowych przepisów ustawy o ochronie danych osobowych, które w wielu wypadkach nastręczają problemów interpretacyjnych przez co cały czas występują realne problemy z realizacją obowiązków istniejących sprzed daty nowelizacji. Pozytywnie natomiast należy ocenić wprowadzenie instytucji administratora bezpieczeństwa informacji, który przejmuje sporą część obowiązków spoczywających na administratorze danych osobowych, co jednak nie oznacza, iż wyłączona zostanie w całości odpowiedzialność ADO za naruszenia przepisów o ochronie danych osobowych.