Przestępstwo opisywane w tym artykule dotyczy naruszenia obowiązku zabezpieczenia danych przed ich zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Art. 52 (bo o nim mowa), brzmi następująco:
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Na pierwszy rzut oka, wydawać by się mogło, że jest to przepis bliźniaczo podobny do omawianego w zeszłym miesiącu art. 51. Nic bardziej mylnego. Jak często w takich przypadkach bywa, diabeł tkwi w szczegółach i aby łatwiej je było Państwu dostrzec, pozwolimy sobie przypomnieć przywołany we wstępie art. 51. W skrócie: mówił on o „ukaraniu grzywną, ograniczeniem wolności lub pozbawieniem wolności do lat dwóch”, tych osób, które „administrując zbiorem danych lub będąc obowiązanymi do ochrony danych osobowych, udostępniają lub umożliwiają dostęp do nich osobom nieupoważnionym”.
Pierwsza różnica jest widoczna już na pierwszy rzut oka. O ile „udostępnienie” lub „umożliwienie dostępu” jest obłożone sankcją nawet do dwóch lat pozbawienia wolności, to w przypadku naruszenia „obowiązku zabezpieczenia” – jest to już maksymalnie rok.
Dla osoby nieobytej z polskim systemem prawnym, w tym momencie różnice między obydwoma przestępstwami się kończą i wydawać by się mogło, że oba przepisy mówią właściwie o tym samym. Art. 52 penalizuje bowiem czyn nieodpowiedniego zabezpieczenia danych osobowych, co wydaje się przecież jednoznaczne z opisanym w art. 51 umożliwieniem dostępu do danych osobowych nieupoważnionym. Ktoś nieobyty z polskim systemem prawnym mógłby pomyśleć: „jeśli ja nieodpowiednio zabezpieczyłem/am dane osobowe wychowanków przedszkola, to oczywistym jest, że narażam je w ten sposób na udostępnienie osobom nieupoważnionym. Po co w takim razie ustawodawca wprowadza dwa takie same art. i dlaczego nakazuje stosować różne sankcje karne do tych samych przestępstw?”. Jeśli przeanalizujemy jednak dokładnie art. 52, dostrzeżemy kolejne różnice, które dowodzą, że mimo wszystko ustawodawca działał racjonalnie.
Adresaci przestępstwa
Pierwsza różnica może nie jest tak znacząca, ale można ją potraktować jako ciekawostkę udowadniającą, jak duże znaczenie w polskim ma każdy wyraz i jak trzeba być czujnym podczas analizowania każdego przepisu. Należy zwrócić szczególną uwagę na to, do kogo skierowane są obydwa przepisy. O ile art. 51 skierowany jest do „administrujących ZBIOREM DANYCH”, to art. 52 jest już skierowany do „administrujących DANYMI„.
O samym „administrowaniu” wspominaliśmy w zeszłym miesiącu. Dlatego przypomnę tylko najważniejszą zasadę: administrujący jest pojęciem szerszym niż administrator. Administrującym będzie nie tylko administrator danych, ale i każda inna osoba na której ciąży obowiązek zabezpieczenia danych osobowych. Dlatego też konsekwencje przewidziane w art. 52 może ponieść zarówno dyrektor przedszkola, jak i podlegli mu pracownicy.
Wracając do różnic między art. 51 i art. 52: nie należy mylić pojęć „administrowania zbiorem danych” od „administrowania danymi”. Z samym „administrowaniem danymi” będziemy mieć do czynienia nawet w przypadku, kiedy nie będziemy jeszcze dysponować żadnym uporządkowanym zbiorem danych, a wyłącznie pojedynczymi danymi osobowymi. Innymi słowy, w przeciwieństwie do art. 51, który jest skierowany wyłącznie do administrujących zbiorami (np. do osoby pracującej w działającym już od miesiąca przedszkolu), obowiązek zastosowania odpowiednich zabezpieczeń, spoczywa na dyrektorze przedszkola nawet jeszcze przed faktycznym, uruchomieniem placówki oświatowej! Wystarczy już, aby do przedszkola wpłynęły pierwsze dane osobowe (np. pierwsze CV kandydata do pracy, czy też wniosek rekrutacyjny pierwszego wychowanka), aby jego dyrektor, czy pracownik mógł zostać oskarżony o „naruszenie obowiązku zabezpieczenia danych”.
Poprzez zastosowanie takiego rozróżnienia (administrujący zbiorem danych/administrujący danymi), ustawodawca chciał zapewne podkreślić, że jeśli nawet dopiero zamierzamy przetwarzać jakieś dane osobowe, powinniśmy zawczasu zadbać o ich odpowiednie zabezpieczenie. Dyrektor przedszkola nie może się zatem tłumaczyć inspektorowi GIODO podczas potencjalnej kontroli, że dopiero zaczyna działalność przedszkola i że jeszcze nie zdążył zastosować w placówce odpowiednich zabezpieczeń (np. drzwi zamykanych na klucz, czy dokumentacji z zakresu ochrony danych osobowych). Z punktu widzenia polskiego prawodawcy, obowiązek odpowiedniego zabezpieczenia powstał bowiem już w momencie wpłynięcia do takiego dyrektora pierwszych danych osobowych. Dodatkowo, w przypadku art. 52, do uznania czynu za karalny, nie jest konieczne wywołanie skutku (np. zniszczenie dokumentów zawierających dane osobowe). Już samo naruszenie obowiązku ich zabezpieczenia powoduje konsekwencje w postaci odpowiedzialności karnej. Nie ma również znaczenia fakt, że przestępstwo zostało popełnione umyślnie bądź też nieumyślnie (tzw. hybrydalna forma winy). Przepis wyraźnie to zaznacza: „kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia […]”.
Uwaga! Chcielibyśmy sprostować od razu jeden z najczęściej pokutujących wokół ustawy o ochronie danych osobowych mitów. Jeśli dyrektor przedszkola nie wdrożył w podległej mu placówce oświatowej odpowiednich zabezpieczeń (ponieważ np. nie wiedział, że spoczywa na nim taki obowiązek), na samym początku działalności edukacyjno-wychowawczej, nie jest na straconej pozycji. Naturalnie powinien takie zabezpieczenia jak najszybciej wdrożyć, ale w przypadku kontroli GIODO, inspektorzy nie będą czynili mu zarzutu, że wymagane zabezpieczenia zostały wdrożone dopiero np. po pięciu latach funkcjonowania przedszkola. Doskonale oddaje tę sytuację aforyzm łaciński wymyślony przez Liwiusza ponad dwa tysiące lat temu: potius sero quam numquam (lepiej późno niż wcale). Nie zmienia to oczywiście faktu, że najbezpieczniejszą i najskuteczniejszą metodą będzie wdrożenie odpowiednich zabezpieczeń, zanim jeszcze przedszkole zacznie funkcjonować. |
Przedmiot przestępstwa
Druga różnica jest już bardzo istotna i dotyczy opisu czynów, które są obłożone sankcją karną. Art. 51 mówi o „udostępnieniu” lub nawet „umożliwieniu dostępu do danych osobom nieupoważnionym”. Art. 52 penalizuje „naruszenie obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem, lub zniszczeniem”. Jaki z tego wniosek? O ile przedmiotem ochrony art. 51 była poufność danych, to przedmiotem ochrony art. 52 jest niezakłócone ich przechowywanie. Co prawda są to pojęcia dość blisko ze sobą powiązane, jednak drugie z nich ma znacznie szersze znaczenie! Z naruszeniem zasady poufności będziemy mieć do czynienia jeśli dostęp do danych osobowych uzyska (lub tylko będzie mogła uzyskać!) osoba nieuprawniona. O niezakłóconym przechowywaniu danych będziemy natomiast mówić w przypadku, kiedy zostanie naruszona zasada poufności ORAZ/LUB jeśli narazimy dane osobowe na uszkodzenie lub zniszczenie (nawet gdy nie będzie zagrożenia, że ktoś wejdzie w posiadanie tych danych!). Najlepiej, jeśli omówimy to przykładzie:
Dyrektor przedszkola „Słoneczko” przechowywał na swoim pendriv’ie wszystkie dane osobowe zgromadzone na potrzeby działalności placówki (dane kadrowe, dane podopiecznych). Znając doskonale art. 51 UODO i wiedząc jakie konsekwencje grożą za naruszenie zasady poufności, postanowił zabezpieczyć dostęp do pendrive’a 20-znakowym hasłem. Dyrektor dzięki temu miał pewność, że dane nie dostaną się w niepowołane ręce. Niestety, jako że ludzka pamięć jest zawodna, po ok. roku korzystania z pendrive’a, dyrektor zapomniał hasła dostępu, przez co wszystkie zgromadzone na nim dane zostały bezpowrotnie utracone.
W omówionym powyżej przykładzie, rzeczywiście nie została naruszona poufność danych (złamanie tak złożonego hasła jest praktycznie niemożliwe, a czas złamania takiego hasła liczy się obecnie w setkach lat), naruszona została jednak zasada niezakłóconego przechowywania danych. W konsekwencji, dyrektor przedszkola „Słoneczko” może zostać pociągnięty do odpowiedzialności przewidzianej w omawianym w tym miesiącu art. 52 UODO.
Zabezpieczenie danych osobowych
W artykule wspominaliśmy wielokrotnie o obowiązku „zabezpieczenia danych osobowych”, którego niedopełnienie jest przestępstwem wynikającym z art. 52 UODO. Jak w takim razie zabezpieczyć dane osobowe, aby nie zostać pociągniętym do odpowiedzialności karnej? Odpowiedzi na to pytanie niestety nie znajdziemy w art. 52 UODO. Z pomocą przychodzą nam inne art. Ustawy, a nawet z inne akty prawne. Kluczowy jest tutaj Rozdział 5 UODO, zatytułowany, nomen omen, Zabezpieczenie danych osobowych. Nadkłada on na każdego Administratora Danych (WAŻNE! Już nie administrującego danymi) następujące obowiązki:
– zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (…) – art. 36. 1.
– prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środki o których mowa powyżej – art. 36. 2.
– wyznaczenie administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, (…) chyba że sam wykonuje te czynności – art. 36. 3.
– dopuszczanie do przetwarzania danych wyłącznie osób posiadających upoważnienie– art. 37.
– zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane – art. 38.
– prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych (…) – art. 39.
Wszystkie szczegółowe informacje, określające sposób, rodzaj i zakres prowadzenia wspomnianej w art. 36. 2. dokumentacji oraz zabezpieczenia techniczne, są opisane w rozporządzeniu wykonawczym MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100 poz. 1024 do UODO).
Nie będziemy zagłębiać się w szczegóły związane z wymaganymi zabezpieczeniami, ponieważ nie to jest tematem artykułu (choć z pewnością poświęcimy temu zagadnieniu jeden z najbliższych artykułów).
Jeśli wrócimy znów do kwestii odpowiedzialności i art. 52 UODO, to po skonfrontowaniu go z Rozdziałem 5 UODO, nasuwa się nurtujące pytanie: kto w końcu odpowiada za te zabezpieczenia? czy jest to tylko dyrektor przedszkola (czyli administrator), czy także podlegli mu pracownicy (czyli administrujący)?
Generalna zasada jest taka: Administrator Danych (dyrektor przedszkola) ma obowiązek stworzyć takie warunki techniczne i organizacyjne, żeby dane osobowe przetwarzane w placówce oświatowej były bezpieczne. W tym celu musi np. opracować system tworzenia archiwum (dla danych w wersji papierowej) oraz tzw. backup’ów (dla danych w wersji elektronicznej), zakupić szafy zamykane na klucz, niszczarki do dokumentów, zainstalować systemy antywirusowe na komputerach, itd. Jeśli dyrektor przedszkola, zapewni już wystarczające środki bezpieczeństwa, to na pracownikach zacznie spoczywać odpowiedzialność za odpowiednie korzystanie z tych zabezpieczeń. Najłatwiej będzie to zrozumieć na następującym przykładzie praktycznym:
Dyrektor przedszkola kupił i zamontował w placówce niszczarkę do dokumentów. Następnie nakazał wszystkim swoim pracownikom, aby niszczyli wszystkie niepotrzebne już dokumenty w zakupionym urządzeniu. Jeden z pracowników zapomniał o swoim obowiązku i zamiast zniszczyć dokument, zgiął go w papierową kulę i wyrzucił do kosza. Podczas opróżniania kosza, kulką zainteresowała się osoba sprzątająca przedszkole. Rozwinęła zwitek papieru i bez problemu rozczytała zawarte w nim dane osobowe jednego z wychowanków przedszkola.
W przytoczonym wyżej przypadku, odpowiedzialność poniesie administrujący danymi osobowymi (czyli pracownik, który nie zniszczył, mimo wyraźnego polecenia, dokumentu zawierającego dane osobowe). Odpowiedzialności nie poniesie natomiast administrator danych (czyli dyrektor), ponieważ dopełnił on swoich obowiązków i zapewnił swoim pracownikom infrastrukturę (w tym przypadku – niszczarkę do dokumentów), pozwalającą na skuteczne niszczenie dokumentów.
Zakończenie
Podobnie jak w zeszłym miesiącu, zamiast zakończenia, prezentujemy Państwu przykład z praktyki działania przedszkola, kiedy to mogło dojść do „naruszenia obowiązku zabezpieczenia danych”. Przykład zakończony jest pytaniem. Jeśli przeczytali Państwo uważnie dzisiejszy artykuł, nie powinni mieć Państwo problemów z odpowiedzią.
Pytanie:
Dyrektor przedszkola „Miś” postanowił usprawnić pracę placówki i całkowicie ją zinformatyzować. W tym celu zainstalował na przedszkolnych komputerach specjalne oprogramowanie, spełniające wszystkie wymogi GIODO. Od tego czasu, niemal wszystkie zbiory danych (a więc wychowankowie przedszkola, pracownicy, zbiór kontaktowy) były zbierane głównie w formie elektronicznej. Po ok. roku funkcjonowania systemu, na skutek gwałtownej burzy, nastąpiła awaria zasilania w całym budynku. Efektem tego nieszczęśliwego wypadku była utrata bardzo wielu cennych danych osobowych. Czy można kogoś pociągnąć do odpowiedzialności za to nieszczęśliwe zdarzenie?
Odpowiedź:
Odpowiedzialność za utratę danych mógłby ponieść z art. 52 UODO dyrektor przedszkola. Dla całej sytuacji nie ma znaczenia fakt, że zdarzenie było efektem nieszczęśliwego wypadku, na które dyrektor nie mógł mieć wpływu. W świetle prawa, najważniejszy będzie fakt, że dyrektor nie zatroszczył się dostatecznie o to, aby infrastruktura teleinformatyczna przedszkola (a więc komputery, na których został zainstalowany system informatyczny i na których gromadzone były wszystkie dane) posiadała odpowiednie zabezpieczenia na skutek awarii zasilania (choćby tzw. UPSy). Dodatkowo, dyrektor nie wdrożył w przedszkolu żadnego systemu tworzenia kopii zapasowych (tzw. backupów), który pozwoliłby w tym przypadku, na odzyskanie znacznej części utraconych danych osobowych.
Nnaruszenia obowiązku rejestracji zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Art. 53 UODO, brzmi następująco: Kto będąc do tego obowiązany nie zgłasza do rejestru zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Przestępstwo opisywane w niniejszym wydaniu, jest przestępstwem indywidualnym, które może być popełnione tylko przez administrującego danymi osobowymi. Jest to również przestępstwo, które może być popełnione tylko przez zaniechanie, umyślnie, przestępstwo o charakterze formalnym, podlegające ściganiu z urzędu. Co ciekawe, w doktrynie prawniczej trwa spór, czy rzeczywiście przestępstwa „nierejestracji” można dokonać tylko i wyłącznie umyślnie. Część prawników wysuwa dość odważną (i bardzo kontrowersyjną!) tezę, jakoby „chodziło o wszystkie zachowania zarówno umyślne i świadome, jak też nieumyślne i nieświadome w formie niedbalstwa czy też lekkomyślności; wszystkie one będą bowiem wypełniały znamiona tych występków, które generalnie mają charakter niedopełnienia obowiązków ciążących na osobie administrującej danymi” (R. Zakrzewski i M. Organiściak Ochrona danych osobowych – przepisy karne, PUG 2002, nr 8, s. 22). Dominujące stanowisko w doktrynie każe się jednak skłaniać ku zgoła odmiennej interpretacji. Wynika to z treści przepisu art. 8 Kodeksu Karnego, zgodnie z którym występek można popełnić także nieumyślnie, ale tylko wówczas, gdy ustawa tak stanowi (a w omawianym art. 53 UODO, nie ma takiego zastrzeżenia). Podsumowując: jeżeli Dyrektor przedszkola nieumyślnie nie zarejestruje zbioru danych do GIODO, nie dopuści się przestępstwa. Tych z państwa, którzy nie rozumieją użytych w tym akapicie terminów, odsyłamy do poprzednich wydań „Dyrektora Przedszkola”, w którym każdy z nich był szczegółowo opisany.
Zapraszamy do zapoznania się ze wszystkimi częściami cyklu:
– Pierwszą – poświęconą konsekwencjom naruszenia art. 49 ustawy o ochronie danych osobowych
– Drugą – poświęconą konsekwencjom naruszenia art. 51 ustawy o ochronie danych osobowych
– Trzecią – poświęconą konsekwencjom naruszenia art. 52 ustawy o ochronie danych osobowych
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101 poz. 926 ze zm.),
· Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (Dz.U. z 1997 r. Nr 88 poz. 553 ze zm.).
· Drozd Andrzej, Ustawa o ochronie danych osobowych: komentarz – wzory pism i przepisy, stan prawny na 2 lipca 2007 r., wyd. Lexis Nexis, Warszawa 2007
· Barta Janusz, Fajgielski Paweł, Markiewicz Ryszard, Ochrona danych osobowych. Komentarz, wyd. Wolters Kluwer Polska, lipiec 2011
· Postanowienie SN z 11 grudnia 2000 r., II KKN 438/00, OSNKW 2001, nr 304, poz. 33.
Artykuł ukazał się we wrześniowym numerze Miesięcznika Dyrektor Przedszkola (nr 9/44 wrzesień 2012).
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.