Ochrona danych osobowych w biurze rachunkowym (cz.8) - Jakie konsekwencje braku przestrzegania Ustawy o ochronie danych osobowych poniesie biuro rachunkowe?

Na skróty

Zobacz też

Ochrona danych osobowych, rejestracja zbioru danych, zabezpieczenia techniczne oraz organizacyjne są wymogami ustawowymi, koniecznymi do zapewnienia rzetelnego i legalnego przetwarzania informacji. Czy niewywiązywanie się z zobowiązań ustawy o ochronie danych osobowych może mieć negatywne skutki dla zobowiązanego biura rachunkowego? Jak się okazuje, może - i to całkiem spore, ale o tym w dalszej części artykułu.

Rodzaje odpowiedzialności administratora danych osobowych

Biuro rachunkowe będące administratorem danych, wskutek nieprawidłowego wdrożenia lub braku procedury ochrony danych osobowych może zostać pociągnięte do odpowiedzialności:

dyscyplinarnej,
administracyjnej,
karnej,
odszkodowawczej.

Niniejsze postępowania mogą zostać wszczęte niezależnie od siebie.

Postępowanie dyscyplinarne a ochrona danych osobowych

Zgodnie z art. 17 ust. 2 ustawy o ochronie danych osobowych na podstawie ustaleń kontroli inspektor może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień oraz poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.

W myśl wykładni słownikowej postępowaniem dyscyplinarnym jest dochodzenie prowadzone przez specjalne komisje, których celem jest ustalenie winy pracownika oraz orzeczenie kary.

W praktyce zakończone postępowanie może skończyć się dla podwładnego zwolnieniem z powodu naruszenia podstawowych obowiązków pracowniczych.

Ochrona danych osobowych a postępowanie administracyjne

W ustawie zawarto upoważnienie dla GIODO do władczych działań administracyjnych wobec podmiotów naruszających przepisy o ochronie danych osobowych.

Sytuacja dotyczy okoliczności, w których inspektor na podstawie wyników kontroli stwierdzi naruszenie przepisów o ochronie danych osobowych. Wówczas jest on upoważniony do wystąpienia do GIODO o wydanie nakazu przywrócenia stanu zgodnego z prawem, a w szczególności:

usunięcia uchybień,
uzupełnienia, uaktualnienia, sprostowania, udostępnienia lub nieudostępnienia danych osobowych,
zastosowania dodatkowych środków zabezpieczających zgromadzone dane osobowe,
wstrzymania przekazywania danych osobowych do państwa trzeciego,
zabezpieczenia danych lub przekazania ich innym podmiotom,
usunięcia danych osobowych.

Nakaz wydawany jest w formie decyzji administracyjnej. Należy dodać, że dalsze przetwarzanie danych osobowych przez biuro rachunkowe wymaga podporządkowania się postanowieniom GIODO. W praktyce mogą wystąpić okoliczności, które mogą narazić biuro na straty z powodu jego zamknięcia na czas postępowania.

Postępowanie karne a kwestia ochrony danych

Postępowanie karne może okazać się najbardziej dotkliwym dla niefrasobliwych biur rachunkowych. Wymierzone sankcje w tym trybie są bardziej odczuwalne. Osoby pracujące w biurze rachunkowym mogą być narażone na grzywnę, ograniczenie wolności, a nawet pozbawienie wolności na okres 3 lat.

Pierwszy etap - wszczęcie postępowania - następuje na podstawie art. 19 ustawy. Zgodnie z nim w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, GIODO kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.

Zawinione działania pracowników biur rachunkowych oraz wymiar kary przedstawiono w poniżej tabeli:

Czyn	Wymiar kary
Ten, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony (art. 49 ust. 1 ustawy)	grzywna, kara ograniczenia wolności albo pozbawienie wolności do lat 2
Ten, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, a przetwarzanie dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym (art. 49 ust. 2 ustawy)	grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 3
Ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym (art. 51 ust. 1 ustawy)	grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2
Działanie sprawy jest nieumyślne (art. 51 ust. 2 ustawy)	grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku
Ten, kto administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem (art. 52 ustawy)	grzywna, kara ograniczenia wolności albo pozbawienie wolności do roku
Ten, kto będąc do tego obowiązany, nie zgłasza do rejestracji zbioru danych (art. 53 ustawy)	grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku