Rodzaje odpowiedzialności administratora danych osobowych
Biuro rachunkowe będące administratorem danych, wskutek nieprawidłowego wdrożenia lub braku procedury ochrony danych osobowych może zostać pociągnięte do odpowiedzialności:
-
dyscyplinarnej,
-
administracyjnej,
-
karnej,
-
odszkodowawczej.
Niniejsze postępowania mogą zostać wszczęte niezależnie od siebie.
Postępowanie dyscyplinarne a ochrona danych osobowych
Zgodnie z art. 17 ust. 2 ustawy o ochronie danych osobowych na podstawie ustaleń kontroli inspektor może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień oraz poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.
W myśl wykładni słownikowej postępowaniem dyscyplinarnym jest dochodzenie prowadzone przez specjalne komisje, których celem jest ustalenie winy pracownika oraz orzeczenie kary.
W praktyce zakończone postępowanie może skończyć się dla podwładnego zwolnieniem z powodu naruszenia podstawowych obowiązków pracowniczych.
Ochrona danych osobowych a postępowanie administracyjne
W ustawie zawarto upoważnienie dla GIODO do władczych działań administracyjnych wobec podmiotów naruszających przepisy o ochronie danych osobowych.
Sytuacja dotyczy okoliczności, w których inspektor na podstawie wyników kontroli stwierdzi naruszenie przepisów o ochronie danych osobowych. Wówczas jest on upoważniony do wystąpienia do GIODO o wydanie nakazu przywrócenia stanu zgodnego z prawem, a w szczególności:
-
usunięcia uchybień,
-
uzupełnienia, uaktualnienia, sprostowania, udostępnienia lub nieudostępnienia danych osobowych,
-
zastosowania dodatkowych środków zabezpieczających zgromadzone dane osobowe,
-
wstrzymania przekazywania danych osobowych do państwa trzeciego,
-
zabezpieczenia danych lub przekazania ich innym podmiotom,
-
usunięcia danych osobowych.
Nakaz wydawany jest w formie decyzji administracyjnej. Należy dodać, że dalsze przetwarzanie danych osobowych przez biuro rachunkowe wymaga podporządkowania się postanowieniom GIODO. W praktyce mogą wystąpić okoliczności, które mogą narazić biuro na straty z powodu jego zamknięcia na czas postępowania.
Postępowanie karne a kwestia ochrony danych
Postępowanie karne może okazać się najbardziej dotkliwym dla niefrasobliwych biur rachunkowych. Wymierzone sankcje w tym trybie są bardziej odczuwalne. Osoby pracujące w biurze rachunkowym mogą być narażone na grzywnę, ograniczenie wolności, a nawet pozbawienie wolności na okres 3 lat.
Pierwszy etap - wszczęcie postępowania - następuje na podstawie art. 19 ustawy. Zgodnie z nim w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, GIODO kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.
Zawinione działania pracowników biur rachunkowych oraz wymiar kary przedstawiono w poniżej tabeli:
| Czyn | Wymiar kary |
| Ten, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony (art. 49 ust. 1 ustawy) | grzywna, kara ograniczenia wolności albo pozbawienie wolności do lat 2 |
| Ten, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, a przetwarzanie dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym (art. 49 ust. 2 ustawy) | grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 3 |
| Ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym (art. 51 ust. 1 ustawy) | grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2 |
| Działanie sprawy jest nieumyślne (art. 51 ust. 2 ustawy) | grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku |
| Ten, kto administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem (art. 52 ustawy) | grzywna, kara ograniczenia wolności albo pozbawienie wolności do roku |
| Ten, kto będąc do tego obowiązany, nie zgłasza do rejestracji zbioru danych (art. 53 ustawy) | grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku |
