Rodzaje odpowiedzialności administratora danych osobowych

Informacja w administracji publicznej | 02/2015
Rafał Trzeciakowski

W wyniku kontroli przeprowadzonej przez pracownika biura Generalnego Inspektora Danych Osobowych w Urzędzie Gminy S. stwierdzono naruszenie przepisów ustawy o ochronie danych osobowych. Jak kształtuje się odpowiedzialność dyscyplinarna oraz karna administratora danych osobowych za stwierdzone nieprawidłowości?”

W wyniku kontroli przeprowadzonej przez pracownika biura Generalnego Inspektora Danych Osobowych w Urzędzie Gminy S. stwierdzono naruszenie przepisów ustawy o ochronie danych osobowych. Jak kształtuje się odpowiedzialność dyscyplinarna oraz karna administratora danych osobowych za stwierdzone nieprawidłowości?”

Odpowiedź

Ustawa z 29.8.1997 r. o ochronie danych osobowych (tj. Dz.U. z 2014 r. poz. 1182 ze zm., dalej: Ochr­DanychU) przewiduje odpowiedzialność dyscyplinarną oraz karną wobec osób odpowiedzialnych za stwierdzone naruszenia w zakresie ochrony danych osobowych.

Wszczęcie postępowania dyscyplinarnego

Odpowiedzialność dyscyplinarną administratora danych osobowych przewiduje wprost art. 17 Ochr­DanychU. Zgodnie z powołanym przepisem, uprawniony do żądania wszczęcia postępowania dyscyplinarnego jest inspektor kontrolujący na podstawie wyników przeprowadzonej kontroli. Żądanie powinno zostać skierowane do podmiotu, który dysponuje uprawnieniem do wszczęcia i prowadzenia właściwego postępowania przeciwko osobie winnej dopuszczenia uchybień w zakresie administrowania danymi osobowymi. Co istotne, podmiot ten nie jest w żaden sposób związany żądaniem wszczęcia postępowania dyscyplinarnego, a to oznacza, że od jego arbitralnej decyzji będzie zależało wszczęcie takiego postępowania. Inspektor może żądać informowania go o wynikach postępowania dyscyplinarnego lub podjętych przez podmiot krokach, w sprawie skierowanego do niego żądania.

Odpowiedzialność dyscyplinarna

Administrator danych osobowych w przedmiotowej sprawie jest pracownikiem jednostki samorządu terytorialnego. Wobec powyższego rodzajów odpowiedzialności dyscyplinarnej pracowników jednostek samorządu terytorialnego należy szukać w ustawie z 21.11.2008 r. o pracownikach samorządowych (t.j. Dz.U. z 2014 r. poz. 1202 ze zm., dalej: PracSamU). Niestety powołana ustawa nie przewiduje odpowiedzialności dyscyplinarnej pracowników jednostek samorządu terytorialnego, jedynie w sprawach nieuregulowanych w PracSamU, na mocy art. 43, odsyła do ustawy z 26.6.1974 r. – Kodeks pracy (t.j. Dz.U. z 2014 r. poz. 1502 ze zm.; dalej: KP). Kodeks pracy z kolei w ogóle nie posługuje się pojęciem odpowiedzialności dyscyplinarnej, przewidując odpowiedzialność porządkową pracowników. Artykuł 108 KP przewiduje karę upomnienia i nagany za nieprzestrzeganie przez pracownika ustalonej organizacji i porządku w procesie pracy, przepisów bezpieczeństwa i higieny pracy, przepisów przeciwpożarowych, a także przyjętego sposobu potwierdzania przybycia i obecności w pracy oraz usprawiedliwiania nieobecności w pracy, a także karę pieniężną za nieprzestrzeganie przez pracownika przepisów bezpieczeństwa i higieny pracy lub przepisów przeciwpożarowych, opuszczenie pracy bez usprawiedliwienia, stawienie się do pracy w stanie nietrzeźwości lub spożywanie alkoholu w czasie pracy. De facto oznacza to brak odpowiedzialności dyscyplinarnej pracownika samorządowego będącego administratorem danych osobowych za dopuszczenie do uchybień w zakresie administrowania danymi osobowymi. Powyższe nie oznacza jednak braku ewentualnej odpowiedzialności majątkowej za szkody spowodowane zawinionym działaniem administratora danych osobowych.

Odpowiedzialność karna

Odpowiedzialność karną za naruszenie przepisów Ochr­DanychU przewiduje rozdział 8. tej ustawy. Przepisy te sankcjonują sześć rodzajów czynów niedozwolonych związanych z administrowaniem danych osobowych:
1) przetwarzanie danych osobowych przez osobę nieuprawnioną; 2) udostępnianie danych osobowym osobom nieuprawnionym; 3) naruszenie obowiązku zabezpieczenia danych osobowych; 4) niezgłoszenie danych osobowych do rejestracji zbioru danych; 5) niedopełnienie obowiązku poinformowania osoby, której dane dotyczą o jej prawach; 6) udaremnianie wykonania czynności kontrolnej inspektorowi.
Popełnienie powyższych czynów niedozwolonych zagrożone jest grzywną, karą ograniczenia wolności lub karą pozbawienia wolności do roku (w przypadku przestępstw wymienionych pod pkt 3, 4 i 5) albo do lat dwóch (pkt 1, 2 i 6). Ponadto art. 49 ust. 2 Ochr­DanychU przewiduje kwalifikowany typ naruszenia polegającego na przetwarzaniu danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, który zagrożony jest karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 3. Podstawa prawna
  • art. 17 i art. 49–54a ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.)
  • art. 43 ustawy z 21.11.2008 r. o pracownikach samorządowych (t.j. Dz.U. z 2014 r. poz. 1202 ze zm.)
  • art. 108 ustawy z 26.6.1974 r. – Kodeks pracy (t.j. Dz.U. z 2014 r. poz. 1502 ze zm.)