Czy odpowiedzialność za ochronę danych osobowych spoczywa wyłącznie na Administratorze danych? Dla tych, którzy nie znają odpowiedzi, krótko: NIE.

Przypadki z ostatnich tygodni w postaci dokonanych zawiadomień do prokuratury o uzasadnionych podejrzeniach popełnienia przestępstwa przez Prezesa Urzędu Ochrony Danych Osobowych oraz zawiadomień, których możemy się spodziewać najlepiej pokazują, że odpowiedzialność za dane osobowe nie spoczywa tylko na Administratorze.

Słowem wstępu:

Przekaz, który wypłynął z mediów w kontekście odpowiedzialności skupił się głównie na wysokich karach zapisanych w artykule 83 RODO – tak tych słynnych mainstreamowych 10 – 20 milionów euro lub co gorsza 2 – 4% całkowitego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Dodatkowo z ciekawie brzmiącym zakończeniem zapisu – przepisu ze wskazaniem, że zastosowanie ma kwota wyższa.

Z pewności zrobiło to wrażenie na kilku korporacjach, których obroty i budżety są większe od środków, jakimi dysponuje niejedno Państwo. Media niestety zapomniały w swym przekazie dodać, że kara jest indywidualna i zależna od okoliczności, na co również wskazuje ten sam art. 83. Środki masowego przekazu zapomniały też o innych uprawnieniach naprawczych organów nadzorczych, które mogą zastosować w przypadku kontroli, a które wynikają z art. 58.

,,Odpowiada tylko administrator, nie pracownik – to nie moja sprawa”.

Na bazie przekazu medialnego wielu pracowników odniosło mylne przekonanie, że cokolwiek się nie stanie, to odpowiada zawsze administrator danych, czyli np. zarząd solidarnie lub wyznaczony wśród członków zarządu jeden z członków odpowiedzialny za obszar ochrony danych osobowych, właściciel firmy, samozatrudniony przedsiębiorca lub właściciel portalu, fanpage’a itd. W wielkim skrócie, ktoś kto sam decyduje o sposobach i celach przetwarzania danych osób fizycznych, które zbiera i przetwarza. Swoją drogą niektórzy nadal tkwią w tej błogiej nieświadomości i żyją w alternatywnym świecie nie przyjmując/nie dopuszczając do świadomości, że w polskiej ustawie o ochronie danych osobowych z mają 2018 roku istnieją dodatkowo dwa przepisy: art. 107 i art. 108.

Ignorantia iuris nocet – (łac.) nieznajomość prawa szkodzi.

Niestety szkodzi i to bardzo. Zwłaszcza, gdy idzie w parze z pychą, która zawsze kroczy przed upadkiem. O czym stanowią wspomniane artykuły. W tym miejscu pozwolę je sobie przytoczyć, aby łatwiej na ich podstawie wyjaśnić istotę sprawy:

Art. 107.

1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Art. 108.

1. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.

Art. 107 ustawy ODO – czyli przetwarzanie bezprawne i bezpodstawne.

Zapis tego artykułu odnosi się do jednej z zasad, która jest fundamentalna dla RODO. Zapisana jest ona w art. 5 z rozszerzeniami w przepisach wskazanych w art.: 6, 9 i 10 Rozporządzenia. Reasumując, aby przetwarzanie było zgodne z prawem muszą zostać spełnione przesłanki wynikające ze wskazanych art. 6, 9 i 10 w zależności od rodzaju danych, jakie przetwarzamy – co jest w miarę proste i intuicyjne po analizie przepisów. Co do zasady, za dobór przesłanki przetwarzania faktycznie odpowiada administrator danych i wspierający go Inspektor Ochrony Danych Osobowych, pod warunkiem, że został wyznaczony i został poinformowany przez administratora o wszystkich operacjach przetwarzania i o danych jakie są przetwarzane.

Zapewne czytającemu zapaliła się pierwsza lampka z pytaniem, w jakim zakresie mogę zostać pociągnięty do odpowiedzialności pod kątem artykułu 107? Wyjaśnienie jest banalnie proste, chodzi o przetwarzanie danych, gdy nie jest się uprawnionym do ich przetwarzania.

Dobrymi chęciami jest piekło wybrukowane.

Pracujemy w jednej organizacji, na początku dali mi jakieś upoważnienie, w systemach też mam jakieś ograniczenia, to w czym problem? Pamiętajcie drodzy pracownicy, że zostaliście w organizacji zatrudnieni w konkretnym celu, który określa Wasz zakres obowiązków. Tym samym Wasze upoważnienie do przetwarzania danych nie jest upoważnieniem bezwzględnym, a jedynie upoważnieniem dostosowanym do zakresu Waszych obowiązków. Kolega lub koleżanka, co do zasady nie powinien wiedzieć o tym, o czym Wy wiecie – nawet jeśli np. bardzo chcecie komuś pomóc w jego pracy. Wyjątkiem są tu sytuacje, gdy Wasz zakres obowiązków jest tożsamy, pracujecie wspólnie nad danym projektem lub jesteście sobie wyznaczeni jako zastępstwo na czas nieobecności któregoś z Was.

Ponadto należy mieć z tyłu głowy zasadę ograniczonego zaufania, aby zachować ostrożność z kim i o czym się mówi, bliska Wam osoba nie jest upoważniona do pozyskania informacji, tylko dlatego, że jest Wam bliska. Sprawdza się w tym miejscu pierwsza zasada podziemnego kręgu: nie rozmawiamy o podziemnym kręgu.

Dodatkowo ustęp drugi art. 107 podnosi poprzeczkę naszej odpowiedzialności w zakresie możliwości pozbawienia nas wolności z lat dwóch do lat trzech, gdy wchodzimy na grunt bezpodstawnego przetwarzania danych osobowych szczególnych kategorii.

Art. 108 ustawy ODO – czyli utrudnianie kontroli PUODO.

Utrudniać lub udaremniać kontrolę PUODO można na wiele sposobów m.in. od szybkiej próby likwidacji spółki w przypadku kontroli; braku złożenia wyjaśnień na pytania PUODO, zamykanie siedziby przed kontrolującymi, niedostarczenie dokumentów dotyczących, polityk regulaminów, procedur, procesów, dokumentacji do działania systemów informatycznych, czy nawet utrudnianie kontaktu z pracownikami kontrolującym. W tym przypadku odpowiedzialność do jakiej możemy zostać pociągnięci to kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch jak w art. 107. Z jednym małym wyjątkiem zawartym w poprzednim artykule dotyczącym danych szczególnych kategorii.

Tu powinna się pojawić druga lampka ostrzegawcza. Nawet jeśli jesteś tylko zwykłym pracownikiem nie zmienia to faktu, że możesz pośrednio lub bezpośrednio odpowiadać za udaremnianie lub utrudnianie kontroli PUODO np. wydając lub wykonując polecenia, które poprowadzą Ciebie do grunt odpowiedzialności karnej.

Czyli znów RODO i jego wymysły nie pomagają.

W tym miejscu jestem zmuszony Was zmartwić przeciwnicy RODO, lub jak to ostatnio powiedział jeden z polityków: dyrektywy RODO, Sic!

RODO i nowa ustawa ODO powstała na jego gruncie – nic nie zmieniła, a omawiane w niniejszym artykule przepisy zostały przeniesione z naszej poprzedniej ustawy o ochronie danych osobowych z 1997 roku. Dokładniej chodzi o art. 49 poprzedniej ustawy będącym punktem wyjścia dla art. 107 obecnej ustawy ODO oraz artykule 54a jako wyjściowego dla art. 108 nowej ODO.

Na zakończenie refleksja i fakty.

Drogi czytelniku dziękuję, że dotarłeś to tego miejsca, ale jako, że lubię podnosić poprzeczkę, to na koniec spójrz z boku na swoje życie, swoje osiągnięcia, trud jaki włożyłeś w to, aby być w tym miejscu, gdzie jesteś, albo na drogę, która jest jeszcze przed Tobą.  Jeśli jesteś na początku swojej kariery, zastanów się – czy warto stracić dobre imię, lub spalić się na starcie przez marginalizowanie znaczenia wymogów przepisów dotyczących ochrony danych osobowych?

Pamiętaj, że nie ważne czy jesteś prezesem, dyrektorem, kierownikiem, specjalistą czy stażystą, to Ty odpowiadasz za ochronę przetwarzanych przez siebie danych osobowych osób fizycznych również własnym imieniem. Zależnie od Twojego stanowiska zmienia się jedynie skala, która wraz ze wzrostem Twojego zawodowego prestiżu zwiększa Twoją odpowiedzialność. Nie tylko za siebie, ale i za ludzi, którymi kierujesz. Czym jesteś wyżej w hierarchii, tym większe znaczenie ma Twoja postawa i prezentowane podejście.

Podsumowując, aby uwiarygodnić sankcję które nad nami ciążą w przypadku nieprzestrzegania przepisów prawnych, warto zapoznać się ze sprawami będącymi w toku, gdzie PUODO złożył zawiadomienia do prokuratury na gruncie omawianych przypadkach jak: Vis Consulting Sp. z o.o. w likwidacji z Katowic; Głównego Geodety Kraju. Podobnych kroków można się spodziewać w przypadku zatrzymanego informatyka z jednej z firm współpracujących z Krajową Szkołą Sądownictwa i Prokuratury oraz w sprawie związanej z ujawnieniem danych osób objętych kwarantanną w Gnieźnie.

PS Nie liczę, że „cwaniaki” przedstawiający się jako rekiny biznesu („Janusze”) się zmienią, ale może komuś ten prosty artykuł pomoże w zrozumieniu istoty zagadnienia, jakim jest odpowiedzialność na gruncie przepisów o ochronie danych osobowych).