Żeby ustalić kto odpowiada za naruszenie danych osobowych, konieczne jest ustalenie za co ten podmiot będzie odpowiadał, w skrócie – czym jest naruszenie danych osobowych? To nic innego jak przełamanie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Przykładami takich naruszeń mogą być kradzież służbowego laptopa lub omyłkowe przesłanie wiadomości e-mail, zawierającą załącznik z danymi osobowymi do nieprawidłowego adresata.

Czas na zgłoszenie naruszenia do organu nadzorczego.

Kiedy ustalimy czy doszło do naruszenia (i w jakim zakresie) musimy nie później niż w terminie 72 godzin (liczonych od momentu jego stwierdzenia) zgłosić je organowi nadzorczemu (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych) – chyba że jest mało prawdopodobne by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Ponadto jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to musimy także bez zbędnej zwłoki zawiadomić o tym osobę, której dane dotyczą.

Rodzaje odpowiedzialności i podmioty odpowiedzialne.

Zasadniczo w kontekście odpowiedzialności za naruszenie ochrony danych osobowych możemy mówić o odpowiedzialności: administracyjnej, cywilnej i karnej.

W kontekście odpowiedzialności administracyjnej (w postępowaniu administracyjnym przed organem nadzorczym) podmiotem odpowiedzialnym za naruszenie jest zawsze co do zasady administrator danych. To na niego RODO nakłada bezpośrednio szereg obowiązków, a w przypadku niewywiązania się z nich i dojścia do naruszenia mogą (i zazwyczaj bywają) na niego zostać nałożone liczne kary administracyjne (zwłaszcza pieniężne).

W kontekście odpowiedzialności cywilnej każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Przy czym administrator odpowiada zawsze przed osobą, której dane dotyczą, a podmiot przetwarzający odpowiada wyłącznie wtedy, gdy nie dopełnił on obowiązków, które RODO nakłada na niego bezpośrednio lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom (np. w sposób sprzeczny z umową powierzenia przetwarzania danych osobowych, zawartą z administratorem danych).

Oczywiście warto zaznaczyć, że powyższe podmioty zostaną zwolnieni z przedmiotowej odpowiedzialności jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Z kolei w kontekście odpowiedzialności karnej to Ustawa o ochronie danych osobowych (także w niektórych przypadkach Kodeks karny m.in. w zakresie ujawnienia tajemnicy służbowej lub zawodowej) wprowadza na wszystkie podmioty (administratorów danych, podmioty przetwarzające czy też ich pracowników lub współpracowników) przepisy sankcjonujące nielegalne przetwarzanie danych osobowych oraz za udaremnianie prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych organowi kontrolnemu.

Odpowiedzialność osób zatrudnionych u administratora na podstawie umowy o pracę oraz umów cywilnoprawnych.

Nie ulega wątpliwości, że co do zasady podmiotem odpowiedzialnym (w świetle RODO) jest administrator danych, to jednak należy mieć na uwadze, że przy przetwarzaniu danych osobowych posługuje się on swoimi pracownikami (osobami zatrudnionymi na podstawie umowy o pracę lub osobami zatrudnionymi na podstawie umów cywilnoprawnych) i w wyniku dopuszczenia się przez nich naruszenia może on względem nich wyciągać liczne konsekwencje.

Przykładowo za nieprzestrzeganie zasad dotyczących przetwarzania danych osobowych osoba zatrudniona na podstawie umowy o pracę może zostać pociągnięta do odpowiedzialności dyscyplinarnej (zwolnienie dyscyplinarne, kara upomnienia albo nagany) jak też do odpowiedzialności odszkodowawczej, za szkody wyrządzone w związku z wykonywaniem przez niego obowiązków pracowniczych.

Z kolei względem osób zatrudnionych na podstawie umów cywilnoprawnych (umowy o dzieło lub zlecenia) w kontekście odpowiedzialności odszkodowawczej (po części także dyscyplinarnej) zastosowanie znajdą przepisy Kodeksu cywilnego takie jak m.in. odpowiedzialność z tytułu niewykonania lub nienależytego wykonania zobowiązania.

Zakończenie

Nie ulega wątpliwości, że zdecydowana większość naruszeń dokonuje się w wyniku nieumyślnego działania pracownika (najczęściej dotyczy to niewiedzy lub pośpiechu w działaniu) dlatego w myśl zasady ,,lepiej zapobiegać niż leczyć” warto zadbać o stosowne szkolenia dla pracowników z zakresu ochrony danych osobowych, które zniwelują ryzyko np. nieuprawnionego ujawnienia danych osobowych.