Niewłaściwe zabezpieczenie dokumentów z danymi wrażliwymi – co może za to grozić

Monika Brzozowska-Pasieka

Autor: Bartosz Lasota

Dodano: 23 listopada 2017
Dokument archiwalny
Niewłaściwe zabezpieczenie dokumentów z danymi wrażliwymi – co może za to grozić
Pytanie:  Jaka odpowiedzialność grozi na gruncie polskiej ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, w przypadku gdy administrator danych albo jeden z jego pracowników niewłaściwie zabezpieczy dokumenty (w formie elektronicznej i papierowej), które zawierają wrażliwe dane osobowe?
Odpowiedź: 

Brak zabezpieczenia bądź nieprawidłowe zabezpieczenie dokumentów zawierających dane osobowe może skutkować odpowiedzialnością administracyjną, dyscyplinarną, cywilną, a nawet karną.

Zabezpieczenie dokumentów zawierających dane osobowe (w tym dane wrażliwe) – zarówno tych w formie papierowej, jak i elektronicznej – jest jednym z filarów prawidłowego przetwarzania danych osobowych. Oba rodzaje nośników wymagają zabezpieczenia przed dostępem do nich osób nieupoważnionych, ale sposoby realizacji tego obowiązku, z uwagi na odmienny charakter wskazanych dokumentów, wymagają różnych rozwiązań organizacyjno-technicznych.

Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Zgodnie z art. 27 ust. 1 ustawy o ochronie danych osobowych (uodo) dane wrażliwe to dane odnoszące się do pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej. Również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym są uznawane za dane wrażliwe. To samo odnosi się do danych dotyczących skazań, orzeczeń o ukaraniu i mandatach karnych, jak i innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

W przypadku przetwarzania danych wrażliwych wymagany jest co najmniej podwyższony poziom bezpieczeństwa, a w przypadku gdy przynajmniej jedno urządzenie informatyczne połączone jest z siecią publiczną, należy zastosować poziom wysoki.

W przypadku dokumentów papierowych ustawa o ochronie danych osobowych jednakowo odnosi się do zabezpieczania danych zwykłych i wrażliwych. Wskazuje, że podmiot przetwarzający powinien stosować odpowiednie do zagrożeń oraz kategorii danych środki techniczne i organizacyjne zapewniające ich ochronę. Podmiot przetwarzający musi wziąć pod uwagę, że ma do czynienia z danymi wrażliwymi, aby zapewnić im adekwatny poziom bezpieczeństwa.

Uwaga

Jeśli administrator bądź procesor planują przetwarzać wrażliwe dane osobowe, to należy rozważyć zamontowanie przeciwwłamaniowego systemu alarmowego i systemu kontroli dostępu do pomieszczeń w miejscach, w których odbywać się będzie przetwarzanie, a dokumenty zawierające dane osobowe przechowywać w zamykanych metalowych szafach.

Niezabezpieczenie dokumentów zawierających dane wrażliwe – w formie elektronicznej i papierowej – to naruszenie zasady bezpieczeństwa, do którego może dojść zarówno umyślnie, jak i nieumyślnie.

Jaka odpowiedzialność grozi za niezabezpieczenie dokumentów

Odpowiedzialność administracyjna

W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych (GIODO) z urzędu lub na wniosek zainteresowanej osoby nakazuje w drodze decyzji administracyjnej przywrócenie stanu zgodnego z prawem. Może to polegać w szczególności na usunięciu uchybień, zastosowaniu dodatkowych środków zabezpieczających zgromadzone dane osobowe, wstrzymaniu przekazywania danych osobowych do państwa trzeciego bądź zabezpieczeniu danych osobowych lub przekazaniu ich innym podmiotom. Jest to przykład odpowiedzialności administracyjnej.

Odpowiedzialność karna

Ustawa o ochronie danych osobowych przewiduje odpowiedzialność karną. Jeśli administrator nie zabezpieczy dokumentów zawierających dane wrażliwe, może ponieść odpowiedzialność z art. 51 i 52 uodo. Przestępstwa te można popełnić nieumyślnie, co zgodnie z art. 9 § 2 Kodeksu karnego polega na tym, że sprawca czynu zabronionego nie mając zamiaru jego popełnienia, popełnia go jednak na skutek niezachowania ostrożności wymaganej w danych okolicznościach, mimo że możliwość popełnienia tego czynu przewidywał albo mógł przewidzieć.

Przestępstwo określone w art. 51 uodo dotyczy udostępnienia lub umożliwienia dostępu do danych osobom nieupoważnionym. Popełnić je może podmiot administrujący zbiorem danych lub podmiot zobowiązany do ochrony danych osobowych – administrator danych, osoba upoważniona do przetwarzania danych lub osoba fizyczna kierująca jednostką organizacyjną. Zgodnie z art. 52 uodo, kto administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Odpowiedzialność cywilna i dyscyplinarna

Za naruszenie zasady zabezpieczenia danych osobowych grozi także odpowiedzialność cywilna. Jeśli dokumenty zawierające dane osobowe (w tym również dane wrażliwe) zostały niezabezpieczone, może skutkować to naruszeniem dóbr osobistych. Niewykluczona jest również odpowiedzialność dyscyplinarna, kiedy to naruszenie zasad zabezpieczenia danych nastąpiło w ramach wykonywania obowiązków wynikających z zatrudnienia.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
  • rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).
Monika Brzozowska-Pasieka

Autor: Bartosz Lasota

aplikant radcowski, absolwent Prawa na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego oraz Informatyki Stosowanej na Wydziale Matematyki i Informatyki Uniwersytetu Jagiellońskiego, prowadzi audyty systemów informatycznych pod kątem bezpieczeństwa danych osobowych, a także analizuje ryzyko pod kątem RODO

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x