Jakie kary grożą za brak zgłoszenia do GIODO?
Zapewne niejeden sklep internetowy zadał sobie pytanie „co, jeśli nie zgłoszę zbioru danych do GIODO”?
Świadomość problematyki ochrony danych i prywatności u administratorów danych osobowych i obywateli jest wprawdzie w Polsce już dość wysoka, ale mimo to mają oni duże poczucie bezkarności, a obywatele wrażenie nieegzekwowalności swoich praw.
Skuteczna ochrona bezpieczeństwa danych osobowych klientów rozpoczyna się dopiero w momencie rejestracji zbiorów danych osobowych w GIODO.
A co na to prawo?
Obowiązujące od 1 stycznia 2015 r. znowelizowane przepisy ustawy o ochronie danych osobowych wprowadzają nowe zasady rejestracji zbiorów danych osobowych.
Problem odpowiedzialności za zgłoszenie zbiorów danych osobowych do GIODO wiąże się nierozerwalnie z faktem powołania lub niepowołania funkcji ABI w swojej firmie.
W aktualnym stanie prawnym mamy do czynienia z następującą sytuacją:
Art. 40 i art. 43 ust. 1 i 1a Ustawy o ochronie danych osobowych
Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał Administratora Bezpieczeństwa Informacji i zgłosił go Generalnemu Inspektorowi do rejestracji
oraz
Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Jest to przestępstwo umyślne, formalne, ścigane z urzędu.
Podmiotem obarczonym odpowiedzialnością jest w tym przypadku administrator danych osobowych.
Przestępstwo to zachodzi w wyniku zaniechania – podmiot nie zgłasza zbioru do rejestracji a przetwarza dane osobowe, których obowiązek rejestracji nie jest wyłączony na mocy art. 43 ust. 1 ustawy o ochronie danych osobowych.
Kto ponosi odpowiedzialność – ABI czy ADO?
Biorąc pod uwagę treść powyższych przepisów należy stwierdzić, że jeśli administrator danych zdecydował się powołać i zgłosić ABI zrzucił on z siebie obowiązek zgłoszenia zbiorów danych do rejestru GIODO. Wyjątek ten nie dotyczy kategorii danych wskazanych w art. 27 ust. 1 tj. danych wrażliwych, w odniesieniu do których nadal będzie istniał obowiązek zgłoszenia do GIODO przed rozpoczęciem przetwarzania zgodnie z art. 40 ustawy.
Jawny rejestr zbiorów danych przetwarzanych przez ADO musi prowadzić wówczas ABI.
Rejestr musi obejmować wszystkie zbiory danych prowadzone przez tego administratora danych (z wyjątkiem zbiorów danych wyłączonych dotychczas z obowiązku zgłoszenia do rejestracji GIODO i ujętych w art. 43 ust. 1 u.o.d.o.). ABI musi zatem ująć w rejestrze również zbiory uprzednio zgłoszone do GIODO – tj. przed 1 stycznia 2015 r. (w tym zbiory zawierające dane wrażliwe).
Tu warto wyodrębnić zmiany w zakresie obowiązków ABI, jakie wprowadziła nowelizacja.
W takiej sytuacji do zadań administratora bezpieczeństwa informacji będzie należało:
1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych
- nadzorowanie opracowania i aktualizowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, oraz przestrzegania zasad w nich określonych
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych
3. dokonanie sprawdzenia zgodności przetwarzania danych osobowych przez ADO z przepisami o ochronie danych osobowych na polecenie GIODO.
ABI będzie zatem ponosił odpowiedzialność kontraktową czyli za swoją pracę i zaniedbania z nią związane oraz na zasadach ogólnych odpowiedzialność odszkodowawczą (p. cywilne).
ABI będzie mógł zostać zatem być pociągnięty do odpowiedzialność karnej tylko wtedy gdy dojdzie do popełnienia przestępstwa (umyślnego bądź w skrajnych przypadkach nieumyślnego, którego znamiona wskazane są w ustawie karnej).
I tak: jeżeli np. ABI podczas kontroli na zlecenie GIODO wykaże nieprawidłowości przy przetwarzaniu danych osobowych przez ADO, w zależności od tego czy będzie to zaniedbanie administratora danych poprzez niewyrażenie zgody na zwiększenie poziomu zabezpieczeń, zmianę polityki itp. czy administratora bezpieczeństwa informacji poprzez niewłaściwe zarządzanie zbiorami czy nieaktualizowanie dokumentacji – ta osoba, która zaniedbanie spowodowała – poniesie konsekwencje.
Co w sytuacji gdy ADO nie powoła ABI?
Jeśli ADO podejmie decyzję o niepowoływaniu ABI, musi wypełnić nałożone ustawą obowiązki sam lub przy pomocy wyznaczonych do tego osób. W takiej sytuacji cała odpowiedzialność za bezpieczeństwo przetwarzania danych w jego firmie będzie spoczywać na ADO.
Ustawa o ochronie danych osobowych za przetwarzanie danych osobowych niezgodnie z prawem przewiduje zarówno odpowiedzialność administracyjną i karną, która szczegółowo uregulowana została w art. 49–54a ustawy.
Takie stanowisko zajął również Naczelny Sąd Administracyjny, który w wyroku z 21 listopada 2002 r. (sygn. akt II SA 1682/01), stwierdził, że:
„W świetle ustawy naruszenie jej przepisów staje się źródłem odpowiedzialności administracyjnej, prowadzącej w istocie jedynie do obowiązku przywrócenia stanu zgodnego z prawem (art. 18) oraz odpowiedzialności karnej (art. 19, 49-54). Przy czym jedynie ten pierwszy rodzaj odpowiedzialności realizowany jest w drodze wydania decyzji administracyjnej”.
Tu warto podkreślić, iż wbrew obiegowej opinii, GIODO nie ma prawa do nakładania kar finansowych po stwierdzeniu uchybienia. Nakładanie jakichkolwiek kar administracyjnych musi być najpierw poprzedzone przeprowadzeniem przez organ do spraw ochrony danych osobowych właściwego postępowania administracyjnego, zakończonego wydaniem decyzji administracyjnej (np. nakazującej określone działanie), a następnie przeprowadzeniem administracyjnego postępowania egzekucyjnego, jeżeli mimo wydanej decyzji, zobowiązany podmiot jej nie wykona.
Innymi słowy, później nałożona grzywna służy wymuszeniu na kontrolowanym wykonania obowiązków o charakterze niepieniężnym.
Grzywna ta wynika z przepisów o postępowaniu egzekucyjnym w administracji art. 121 i może wynosić od 10 tys. zł dla osób fizycznych prowadzących działalność gospodarczą do 50 tys. zł dla osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej (w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie może przekraczać odpowiednio 50 tys. zł oraz 200 tys. zł).
Odpowiedzialność karna zaś, jak i kara za naruszenie przepisów o ochronie danych osobowych jest orzekana po przeprowadzeniu postępowania karnego w konkretnej sprawie przez właściwe organy ścigania i wymiaru sprawiedliwości.
Podsumowanie
Każdy przedsiębiorca przetwarzający dane osobowe powinien zadbać o spełnienie obowiązków ustawowych już w momencie rozpoczynania działalności po to by „spać spokojnie”.
Warto pamiętać, że w zależności od tego czy ABI zostanie powołany czy nie, obowiązki oraz odpowiedzialność administratora danych również ulegną zmianie.
Z pewnością najgorszym z możliwych rozwiązań będzie lekceważenie tematyki ochrony danych osobowych, które może odbić się negatywnie na reputacji firmy, utracie zaufania klientów, ale również na portfelu przedsiębiorcy.
