Jaką odpowiedzialność będzie miał inspektor ochrony danych

Monika Brzozowska-Pasieka

Autor: Włodzimierz Dola

Dodano: 28 sierpnia 2017
Jaką odpowiedzialność będzie miał inspektor ochrony danych

Jedną z podstawowych zmian przewidzianych w ogólnym rozporządzeniu o ochronie danych jest zastąpienie obecnie funkcjonującego administratora bezpieczeństwa informacji inspektorem ochrony danych. Sprawdź, czym będzie różniła się odpowiedzialność inspektora ochrony danych od tej, jaką ma ABI.

Od 25 maja 2018 r. będziemy zobowiązani stosować się do nowych unijnych przepisów w zakresie ochrony danych osobowych, które są efektem szykowanej od wielu lat reformy ochrony danych osobowych. Aktem prawnym, który wprowadza zmiany w tym zakresie, jest rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (rodo).

Czy ABI i inspektor ochrony danych to te same funkcje

Na mocy obecnie obowiązujących przepisów krajowych (ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.) powołanie ABI ma charakter dobrowolny, niezależnie od tego, kto jest administratorem danych. Ogólne rozporządzenie o ochronie danych wprowadza obowiązek wyznaczenia inspektora ochrony danych (IOD) w podmiotach ze sfery prawa publicznego, a także w niektórych przypadkach w podmiotach ze sfery prawa prywatnego (np. gdy główna działalność administratora danych polega na przetwarzaniu danych na dużą skalę).

W przypadku inspektorów ochrony danych można powołać jednego IOD dla grupy przedsiębiorców, czego formalnie nie można zrobić w przypadku administratora bezpieczeństwa informacji, choć częstą praktyką jest sytuacja, w której ta sama osoba pełni funkcję ABI w kilku podmiotach z grupy kapitałowej. W tym przypadku ABI musi być osobno powołany przez każdego z administratorów danych.

Zmienia się również kwestia związana z kwalifikacjami osoby nadzorującej przestrzeganie przepisów o ochronie danych osobowych w organizacji. Ogólne rozporządzenie o ochronie danych kładzie zdecydowanie większy nacisk na wiedzę i umiejętności osoby pełniącej funkcję IOD niż ustawa o ochronie danych osobowych w stosunku do ABI.

IOD – jakie będą jego zadania

Inspektor ochrony danych nazywany jest w doktrynie następcą ABI, czego wyrazem jest szerszy niż do tej pory zakres zadań, jakie będą na nim spoczywały. Oprócz typowych zadań związanych z nadzorowaniem przestrzegania przepisów o ochronie danych osobowych wewnątrz organizacji do zadań IOD zostały dołożone takie kwestie jak wydawanie zaleceń w związku z dokonywaniem oceny skutków operacji przetwarzania danych powodujących szczególne ryzyko dla ochrony danych osobowych.

Ma to znaczny wpływ na zakres odpowiedzialności, gdyż do odpowiedzialności o charakterze proceduralnym, organizacyjnym i informacyjnym na IOD nałożona zostaje odpowiedzialność za to, aby stosowane w przyszłości w organizacji rozwiązania były zgodne z prawem.

Odpowiedzialność karna

Obecnie krajowe przepisy prawa o ochronie danych osobowych (i nie tylko) przewidują odpowiedzialność karną, administracyjną, dyscyplinarną i cywilną administratora bezpieczeństwa informacji. Rozdział 8 ustawy o ochronie danych osobowych zawiera przepisy regulujące odpowiedzialność karną. Część z nich może dotyczyć pośrednio odpowiedzialności ABI. W doktrynie nie ma jednak co do tego zgodności.

Przykładowo art. 51 ustawy o ochronie danych osobowych stanowi, że odpowiedzialności karnej podlega osoba/podmiot, który administruje zbiorem danych, lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym.

Jako administrującego zbiorem danych należy przede wszystkim rozumieć administratora danych osobowych (a w zasadzie osoby będące członkami organu wykonawczego tego podmiotu), natomiast pod pojęciem osób obowiązanych należy rozumieć osoby upoważnione do przetwarzania danych osobowych, w tym i ABI, gdyż w związku z wykonywaniem swoich obowiązków ma dostęp do danych osobowych.

Zatem administrator bezpieczeństwa informacji może ponieść odpowiedzialność karną jak każda inna osoba zobowiązana do ochrony danych osobowych za udostępnienie danych osobowych lub umożliwienie do nich dostępu osobom nieuprawnionym. Odpowiedzialność ta nie będzie jednak wykraczać na inne obowiązki administratora bezpieczeństwa informacji, związane ze sprawowaniem tej funkcji.

Przepisy ogólnego rozporządzenia o ochronie danych nie przewidują żadnych sankcji karnych za naruszenie przepisów rozporządzenia, jednak dają możliwość państwom członkowskim, aby w swoich aktach prawnych ustanowiły takowe sankcje, ale również i sankcje za naruszenie przepisów krajowych.

Ważne:

Projekt nowej ustawy w zakresie ochrony danych osobowych z marca 2017 r. przedstawiony przez Ministerstwo Cyfryzacji nie przewiduje takich przepisów, co spotkało się z krytyką ze strony części doktryny. Jednym z wniosków z konsultacji przeprowadzanych przez Ministerstwo Cyfryzacji jest to, aby takową odpowiedzialność w przepisach ustawy wprowadzić. Aktualnie nie wiemy jednak, jaki będzie zakres tej odpowiedzialności.

Odpowiedzialność dyscyplinarna

W zakresie odpowiedzialności dyscyplinarnej krajowe przepisy o ochronie danych osobowych zawierają tylko jeden przepis, a mianowicie art. 17 ust. 2 ustawy o ochronie danych osobowych. Zgodnie z nim inspektor GIODO na podstawie ustaleń prowadzonej przez niego kontroli może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i poinformowania go (inspektora), w określonym terminie, o wynikach tego postępowania i podjętych działaniach.

Przepis ten jednak w praktyce bywa bardzo rzadko stosowany ze względu na bardzo krótki czas przedawnienia przewinień dyscyplinarnych. Ponadto dotyczy on osób zatrudnionych na podstawie którejś z form wskazanej w Kodeksie pracy. Zatem administrator bezpieczeństwa informacji, jak każdy inny pracownik, może podlegać odpowiedzialności dyscyplinarnej wynikającej z przepisów prawa pracy, z rozwiązaniem umowy o pracę bez wypowiedzenia z winy pracownika włącznie.

Przepisy ogólnego rozporządzenia o ochronie danych nie przewidują w swoich przepisach odpowiedzialności dyscyplinarnej inspektora ochrony danych. Analogicznie uprawnienie, jak to w obecnej ustawie o ochronie danych osobowych, przewidziane jest w projektowanych przepisach nowej ustawy w zakresie ochrony danych osobowych z marca 2017 r. i jeśli zostanie uchwalone, będzie przysługiwać kontrolującym w imieniu organu ochrony danych osobowych w Polsce.

Odpowiedzialność cywilna

Obecnie krajowa ustawa o ochronie danych osobowych nie odnosi się w żaden sposób do odpowiedzialności cywilnej administratora bezpieczeństwa informacji. Jednakże w przypadku niewłaściwego wypełniania swoich obowiązków lub ich niewypełniania ABI może ponieść odpowiedzialność umowną na podstawie przepisów prawa cywilnego lub prawa pracy w zależności od rodzaju umowy, jaka go łączy z administratorem danych.

Na podstawie przepisów Kodeksu pracy w obecnym stanie prawnym administrator danych może żądać odszkodowania za wyrządzoną szkodę z tytułu niewykonania lub nienależytego wykonania obowiązków. Odszkodowanie ustala się w wysokości wyrządzonej szkody, jednak nie może ono przewyższać kwoty trzymiesięcznego wynagrodzenia przysługującego pracownikowi w dniu wyrządzenia szkody. Wyjątkiem jest sytuacja, gdy pracownik umyślnie wyrządził szkodę – wówczas obowiązany jest do jej naprawienia w pełnej wysokości oraz naprawienia szkody wyrządzonej przez pracownika. Pracownik ponosi odpowiedzialność za szkodę w granicach rzeczywistej straty poniesionej przez pracodawcę i tylko za normalne następstwa działania lub zaniechania, z którego wynikła szkoda.

W zakresie odpowiedzialności wynikającej z Kodeksu cywilnego administrator bezpieczeństwa informacji może ponosić odpowiedzialność na zasadach ogólnych, tj. za niewykonania lub nienależyte wykonania umowy (art. 471 i nast. Kodeksu cywilnego), odpowiedzialność z tytułu zastrzeżonych w umowie kar umownych, a także odpowiedzialność deliktową (art. 415 i nast. Kodeksu cywilnego). Osoby, których dane osobowe zostały naruszone, mogą skorzystać z katalogu roszczeń zawartych w Kodeksie cywilnym za naruszenie przez administratorów danych ich dóbr osobistych.

Odpowiedzialność cywilna w ogólnym rozporządzeniu

Przepisy ogólnego rozporządzenia o ochronie danych zawierają ogólne postanowienia dotyczące odpowiedzialności administratora danych lub podmiotu przetwarzającego (procesora). W przypadku gdy dojdzie do naruszenia ogólnego rozporządzenia o ochronie danych, osobie, która poniosła szkodę, przysługiwać będzie prawo żądania odszkodowania. W pozostałym zakresie ustawodawca unijny pozostawił ten obszar do doprecyzowania w ustawodawstwie krajowym.

Wydaje się, że przepis ten kierowany jest głównie do administratorów danych, ze względu, na fakt, że inspektor ochrony danych nie działa we własnym imieniu, ale w imieniu administratora danych. Jednakże administrator danych może poprzez odpowiednie klauzule umowne przerzucić taką odpowiedzialność na inspektora ochrony danych.

W projekcie nowej ustawy o ochronie danych osobowych z marca 2017 roku wyodrębniony został rozdział zatytułowany „Odpowiedzialność cywilna”. Rozdział ten zawiera dwa przepisy. Pierwszy o charakterze ogólnym, który wskazuje, że osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, może żądać, ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.

Drugi przepis ma natomiast charakter proceduralny. Warto podkreślić, że prawo do żądania odszkodowania ma charakter niezależny od innych możliwych sankcji przewidzianych w ogólnym rozporządzeniu o ochronie danych. Zatem wobec osoby/podmiotu, który naruszył postanowienia ogólnego rozporządzenia o ochronie danych, organ ochrony danych osobowych może nałożyć administracyjną karę pieniężną. Dodatkowo osoba, która poniosła szkodę, może wystąpić do sądu z roszczeniem o odszkodowanie, a także z żądaniem, ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.

Uwaga

Postanowienia umowy cywilnoprawnej pomiędzy administratorem danych a administratorem bezpieczeństwa informacji/inspektorem ochrony danych mogą przewidywać obowiązek zapłaty na rzecz administratora danych równowartości wypłaconego odszkodowania lub zadośćuczynienia.

Odpowiedzialność administracyjna

Największe zmiany w obszarze odpowiedzialności zaszły na poziomie odpowiedzialności administracyjnej. Obecnie przepisy ustawy o ochronie danych osobowych przewidują możliwość nałożenia przez Generalnego Inspektora Ochrony Danych Osobowych grzywny finansowej w trybie postępowania egzekucyjnego w administracji (jednorazowo do 10 tys. zł, a wielokrotnie do 50 tys. zł w odniesieniu do osób fizycznych – art. 121 ustawy o postępowaniu egzekucyjnym w administracji). Grzywna taka może być nałożona nie tylko na administratora danych, ale i na osobę fizyczną w zakresie niewypełniania przez nią obowiązków.

Przepisy ogólnego rozporządzenia o ochronie danych przewidują możliwość korzystania przez organ ochrony danych osobowych z różnych sankcji administracyjnych. Jedną z nich jest możliwość nakładania administracyjnych kar pieniężnych bezpośrednio po stwierdzeniu naruszenia określonych wymogów ogólnego rozporządzenia o ochronie danych bez wyznaczania dodatkowego terminu na usunięcie uchybień, by kara mogła być orzeczona.

Uwaga

Obecnie Generalny Inspektor Ochrony Danych Osobowych nie może nakładać kar finansowych po stwierdzeniu naruszenia przepisów ustawy – w takim wypadku wydaje decyzję administracyjną, w której stwierdza naruszenie wymogów prawnych i wyznacza termin na usunięcie uchybień. W przypadku gdy te uchybienia nie zostaną usunięte w terminie wyznaczonym w decyzji, Generalny Inspektor Ochrony Danych Osobowych ma może nałożyć karę grzywny.

Wielkość kar, jakie zgodnie z ogólnym rozporządzeniem o ochronie danych będzie mógł nałożyć organ nadzorczy, jest porażająca i może wynosić nawet do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Przepisy projektowanej ustawy o ochronie danych osobowych z marca 2017 roku ograniczają wysokość kary, jaką organ nadzorczy będzie mógł nałożyć na podmioty prawa publicznego, do 100 tys. zł. Podobnie jak w przypadku odpowiedzialności cywilnej, przy odpowiedzialności administracyjnej postanowienia umowy cywilnoprawnej pomiędzy administratorem danych a inspektorem ochrony danych mogą przewidywać obowiązek zapłaty na rzecz administratora danych równowartości poniesionych kar administracyjnych.

Monika Brzozowska-Pasieka

Autor: Włodzimierz Dola

radca prawny, prezes zarządu DAPR sp. z o.o.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel