Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Odpowiedzialność karna – ochrona danych osobowych, cz. 2 – art. 51

Udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym

Następnym przestępstwem, po omawianym w poprzednim artykule art. 49 UODO jest opisane w art. 51 UODO udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym (pomijamy przestępstwo opisane w art. 50, ponieważ zostało uchylone z dniem 07 marca 2011 r., na mocy nowelizacji ustawy o ochronie danych osobowych). Wracając do art. 51, brzmi on następująco:

1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Pierwsze co rzuca się w oczy w porównaniu z przestępstwem “nieuprawnionego” oraz “niedopuszczalnego” przetwarzania danych osobowych w zbiorze, jest niższy wymiar kary. O ile w omawianym przez nas w zeszłym miesiącu występku były to nawet trzy lata (w przypadku przetwarzania danych wrażliwych), to w przypadku art. 51 najwyższym wymiarem sankcji będą “tylko” dwa lata pozbawienia wolności. Dodatkowo, zgodnie z pkt. 2 przytaczanego art., jeśli sprawca przestępstwa działa nieumyślnie, grozi mu maksymalnie rok pozbawienia wolności. Analogicznie należy oczekiwać, że sądy podczas nakładania grzywny, obarczyłyby winnego proporcjonalnie niższą karą finansową, niż w przypadku przestępstwa z art. 49. UODO.

Adresaci art. 51 UODO

Znamy już konsekwencje karne przestępstwa. Nadal jednak nie wiemy komu i za co może nam grozić odpowiedzialność wynikająca z art. 51. Kim jest bowiem “administrujący” zbiorem danych”? Czym jest “udostępnienie “danych osobowych? Czym jest “zbiór danych osobowych”? Kim jest osoba “nieuprawniona”? Odpowiedź na dwa ostatnie pytania została udzielona w ostatnim numerze “Dyrektora Przedszkola”, dlatego w dzisiejszym artykule odpowiemy tylko na dwa pierwsze pytania.

Definicji “administrującego” danymi osobowymi niestety nie znajdziemy w UODO, a szkoda, bo łatwo może ona wprowadzić w błąd. Na pierwszy rzut oka, wydawać by się bowiem mogło, że “administrującym” jest po prostu Administrator Danych (a więc dyrektor przedszkola) i to tylko do niego skierowany jest art. 51 UODO. Nie jest to do końca prawdziwe twierdzenie, na co dowodem jest orzecznictwo polskich sądów. Dokładne zdefiniowanie “osoby administrującej”  było na tyle istotną sprawą, że zostało dokonane przez Sąd Najwyższy już w 2000 roku (postanowienie SN z 11 grudnia 2000 r., II KKN 438/00, OSNKW 2001, nr 304, poz. 33.). Skład sędziowski orzekł wtedy, że za administrującego uważa się Administratora Danych oraz “podmiot, który zarządza, zawiaduje zbiorem danych lub danymi w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy”. Oznacza to, że za administrującego zbiorem danych należy uznać:

– z pewnością dyrektora przedszkola, jako Administratora Danych,

– ale i podmioty którym przedszkole powierzyło przetwarzanie danych osobowych, na mocy tzw. umowy powierzenia przetwarzania danych osobowych (art. 31 UODO). Najogólniej rzecz biorąc – powierzenie przetwarzania danych osobowych to “wypożyczenie” danych osobowych których jest się administratorem, innemu podmiotowi. Podmiot któremu “wypożyczono” dane nie może samodzielnie decydować o celach i środkach przetwarzania danych osobowych, nie staje się więc ich administratorem. Z sytuacją powierzenia przetwarzania danych osobowych w przedszkolu można się spotkać np. w przypadku współpracy z Zespołem Ekonomiczno Administracyjnym Oświaty (ZEAO). ZEAO są komórkami organizacyjnymi podlegającymi pod jednostki samorządu terytorialnego, które udzielają przedszkolom wsparcia techniczno-organizacyjnego np. w zakresie prowadzenia księgowości. Aby takie wsparcie było możliwe, ZEAO musi naturalnie pozyskać od przedszkola pewne dane osobowe – przynajmniej informacje o pracownikach placówki. Odbywa się to właśnie na podstawie “powierzenia” przetwarzania danych osobowych. Podsumowując: konsekwencją powierzenia przetwarzania danych osobowych jest to, że ZEAO nie staje się ich administratorem, ale nimi administruje i również do ZEAO skierowany jest art. 51 UODO.

Nie należy też zapominać o kolejnych adresatach art. 51 UODO. Będzie to bowiem nie tylko administrujący zbiorem danych, ale i osoby “zobowiązane do ochrony danych osobowych“. Ponownie pierwsze skojarzenie może być błędne. Wydawałoby się, że “zobowiązanymi do ochrony danych osobowych” będą tylko pracownicy przedszkola, upoważnieni przez dyrektora do przetwarzania danych osobowych. Otóż nie tylko. “Zobowiązanymi do ochrony danych osobowych” będą również osoby niebędące pracownikami przedszkola, nieupoważnione do przetwarzania danych osobowych, ale zobligowane do ich ochrony z tytułu jakiegoś zobowiązania wynikającego z umowy. Przykładem takiej osoby będzie pracownik ochrony zajmujący się zabezpieczaniem obszaru przedszkola. Pomimo tego, że w świetle prawa nie został on upoważniony do przetwarzania danych osobowych (ponieważ jako osoba niezatrudniona de facto przez przedszkole, takiego upoważnienia nie może uzyskać), to będzie osobą “zobowiązaną do ochrony danych osobowych” np. należących do wychowanków przedszkola (ze względów bezpieczeństwa musi bowiem znać dane osobowe dzieci oraz ich rodziców ).

Opis czynów karanych

Wiedzą Państwo już kto może zostać pociągnięty do odpowiedzialności karnej wynikającej z art. 51 UODO. Teraz chcielibyśmy skupić się na tym, za co mogą go spotkać takie konsekwencje. Nieuchronnie prowadzi to do odpowiedzi na drugie postawione w artykule pytanie – czym jest udostępnienie danych osobowych? Bo to właśnie ten czyn jest w art. 51 objęty sankcjami karnymi. Ustawa o ochronie danych osobowych mówi tylko, że jest to jedna z czynności składających się na przetwarzanie danych osobowych (art. 7 pkt. 2 UODO). Więcej informacji znajdziemy w innych źródłach. Uniwersalny słownik języka polskiego, nadaje wyrazowi “udostępniać” następujące znaczenie: “czynić dostępnym, ułatwiać, umożliwiać odbiór, przyswojenie, poznanie czegoś, uprzystępniać”. Ta potoczna (ale w tym przypadku bardzo użyteczna!) definicja wskazuje na to, że “udostępnianie” może nastąpić w całkowicie dowolny sposób. “Udostępnieniem” będzie np.: umieszczenie na drzwiach do przedszkola kartki z wynikami rekrutacji, czy przesłanie rodzicowi e-maila zawierającego informacje o wynikach konkursu w którym brali udział wychowankowie przedszkola.

Art. 51 UODO idzie jednak dalej. Karane jest nie tylko udostępnienie danych osobowych, ale nawet samo „umożliwienie dostępu”! Oznacza to, że karane jest nawet niedostateczne zabezpieczenie danych osobowych, które tylko mogłoby skutkować jakimś „wyciekiem” z zakładu pracy. Z taką sytuacją mielibyśmy do czynienia, kiedy np. po skończeniu dnia pracy, jeden z pracowników przedszkola pozostawiłby na swoim biurku listę wychowanków przedszkola wraz z informacjami dotyczącymi ich stanu zdrowia (a więc tzw. danymi wrażliwymi). Standardowo, po skończeniu dnia pracy, przedszkola są sprzątane przez specjalnie do tego celu wyznaczonych pracowników lub firmy zewnętrzne. Żeby sprzątanie było skuteczne, naturalnie osoby wykonujące tę czynność muszą mieć dostęp do sprzątanych pomieszczeń. Oznacza to, że do pomieszczenia w którym zostawiono na biurku listę wychowanków, mogła uzyskać dostęp osoba sprzątająca. Nawet jeśli przyjmiemy, że wspomniana osoba sprzątająca nie weszła do tego pomieszczenia, to i tak wystarczy już sam fakt, że mogła to zrobić, żeby oskarżyć pracownika który zostawił dane osobowe „na widoku” o naruszenie art. 51 UODO. Dlatego też, bardzo ważne, żeby w przedszkolu obowiązywała tzw. polityka czystych biurek. Jest to jedna z tych rzeczy, które GIODO bada już na początku kontroli. Jak najprościej scharakteryzować politykę czystych biurek? Nie można zostawiać na wierzchu (na biurku, na szafce) żadnych dokumentów zawierających dane osobowe, jeśli nie jesteśmy w stanie zagwarantować nad nimi kontroli (np. kiedy wychodzimy na chwilę na przerwę). Dlatego należy pamiętać, aby niepotrzebne w danym momencie dokumenty papierowe (ale i nośniki elektroniczne! Płyty CD, pendrivy, laptopy, itd.) chować w szufladach, a najlepiej zamykanych na klucz szafach. Absolutnie nie może dochodzić do sytuacji, kiedy dokumenty i nośniki danych pozostają niezabezpieczone po zakończeniu pracy. Są to elementarne zasady bezpiecznego przetwarzania danych osobowych i powinien je znać nie tylko dyrektor przedszkola, ale i wszyscy pracownicy placówki.

Wiemy już, że nie można „udostępniać”, ani nawet „umożliwiać dostępu” do danych osobowych. Czy jednak art. 51 UODO sprawia, że te działania zawsze będą przestępstwem? Naturalnie, nie. Przestępstwem będzie tylko i wyłącznie takie udostępnienie (lub umożliwienie dostępu), którego skutkiem będzie wejście w posiadanie danych osobowych przez osobę „nieupoważnioną”. Zbiór osób „nieupoważnionych” jest bardzo obszerny, dlatego zdecydowanie łatwiej będzie wyliczyć, kto w takim wypadku jest upoważniony do „otrzymania” na drodze udostępnienia danych osobowych. Są to:

– pracownicy upoważnieni przez dyrektora przedszkola do dostępu do danych osobowych. Naturalnie, nie ma przeciwwskazań, żeby dyrektor, jako administrator danych udostępniał upoważnionym przez siebie pracownikom np. informacje o nowych wychowankach przedszkola, którzy pomyślnie przeszli proces rekrutacji. UWAGA! Sam fakt posiadania upoważnienia, nie daje pracownikowi automatycznie prawa do dostępu do wszystkich danych osobowych. Żeby nie dopuścić do takiej sytuacji, ustawodawca wprowadził do procesu upoważniania pewne bardzo istotne ograniczenie. Dyrektor przedszkola może upoważnić tylko i wyłącznie do określonych zbiorów danych osobowych. Co więcej, zakres upoważnienia (a więc wyliczenie w upoważnieniu tych określonych zbiorów danych osobowych) musi odpowiadać rzeczywistym obowiązkom pracownika;

– wszelkiego rodzaju podmioty które są uprawnione na mocy przepisów prawa – sądy, komornicy, Policja, Agencja Bezpieczeństwa Wewnętrznego, Kuratorzy, itd. Mogą one zgłaszać się do przedszkola wnioskując o udostępnienie pewnych danych osobowych. UWAGA! Wszystkie powyższe podmioty muszą wcześniej wskazać podstawę prawną, która pozwalałaby domagać się od Dyrektora przedszkola tego typu informacji. Jeśli do przedszkola zadzwoniłby np. policjant i zażądałby podania danych osobowych jednego z wychowanków, nie można udostępnić mu tego typu informacji. Po pierwsze – nie ma pewności, że osoba po drugiej stronie słuchawki rzeczywiście jest policjantem. Po drugie – nawet jeśli taka pewność by była, policjant musi wskazać podstawę prawną która pozwalałaby mu na uzyskanie takich informacji. Dlatego też, najbezpieczniej udostępniać dane osobowe uprawnionym podmiotom drogą pisemną, prosząc wcześniej o wskazanie podstawy prawnej pozwalającej na to udostępnienie.

Zamiast zakończenia, zaprezentujemy Państwu przykład z praktyki działania przedszkola, kiedy to mogło dojść do „udostępnienia lub umożliwienia dostępu do danych osobowych osobom nieupoważnionym”. Przykład zakończony jest pytaniem. Jeśli przeczytali Państwo uważnie dzisiejszy artykuł, nie powinni mieć Państwo problemów z odpowiedzią.

Pytanie:

Przedszkole X zatrudniło Krystynę Nowak. Pani Krystyna miała prowadzić zajęcia rytmiki dla wychowanków. Podczas swojej pracy, Pani Krystyna przetwarzała dane osobowe dzieci uczestniczących w zajęciach, aby wiedzieć dokładnie które z nich są obecne na sali, a także żeby móc monitorować ich postępy. Dyrektor przedszkola, Katarzyna Wójcik zadbała o legalność tego procesu i nadała Pani Krystynie Nowak upoważnienie do przetwarzania danych osobowych. Po ok. roku pracy w przedszkolu, Pani Krystyna Nowak zawiedziona tym, że nie otrzymała przez ten czas podwyżki, udała się do księgowej, żeby dowiedzieć się dla porównania, ile zarabiają jej koledzy i koleżanki w pracy. Księgowa udostępniła Pani Krystynie taką informację, widząc, że legitymuje się ona upoważnieniem do przetwarzania danych osobowych nadanym przez dyrektora. Czy Księgowa miała prawo udostępnić takie informacje Pani Krystynie?

Odpowiedź:

Nie. Prawidłowym działaniem, byłoby upoważnienie Pani Krystyny Nowak tylko i wyłącznie do zbioru danych wychowanków (ponieważ jej praca istotnie tego wymagała), nie zaś do zbioru danych kadrowych (ponieważ praca Pani Krystyny nie polega na zagłębianiu się w kwestie budżetowe. Jest to zadanie którym standardowo zajmują się działy kadr, czy księgowości). W omawianym przykładzie błąd popełniłby/aby:

– Dyrektor przedszkola, jeśli upoważniłby Panią Krystynę w zbyt szerokim zakresie (a więc zarówno do danych wychowanków, jak i danych kadrowych), lub

– Księgowa, jeśli pomimo upoważnienia Pani Krystyny tylko i wyłącznie do zbioru danych wychowanków, udostępniłaby jej również dane osobowe ze zbioru kadrowego.

Obawiasz się odpowiedzialności karnej?

Zadbaj zawczasu o świadomość pracowników nt. bezpiecznych metod przetwarzania danych osobowych. Jak? Np. przeszkól ich za pomocą naszych innowacyjnych szkoleń e-learningowych. Przeklikaj wersję demo i zobacz jak to działa. Zobacz demo

Zapraszamy do zapoznania się ze wszystkimi częściami cyklu:

– Pierwszą – poświęconą konsekwencjom naruszenia art. 49 ustawy o ochronie danych osobowych

– Drugą –  poświęconą konsekwencjom naruszenia art. 51 ustawy o ochronie danych osobowych

– Trzecią – poświęconą konsekwencjom naruszenia art. 52 ustawy o ochronie danych osobowych

Podstawa prawna:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101 poz. 926 ze zm.),
  • Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (Dz.U. z 1997 r. Nr 88 poz. 553 ze zm.).
  • Drozd Andrzej, Ustawa o ochronie danych osobowych: komentarz – wzory pism i przepisy, stan prawny na 2 lipca 2007 r., wyd. Lexis Nexis, Warszawa 2007
  • Postanowienie SN z 11 grudnia 2000 r., II KKN 438/00, OSNKW 2001, nr 304, poz. 33.

Artykuł ukazał się w sierpniowym numerze Miesięcznika Dyrektor Przedszkola (nr 8/43 sierpień 2012).

Powiązane artykuły

Jak nadawać upoważnienia do przetwarzania danych osobowych. Wzory dokumentów i dobre praktyki
Odpowiedzialność za bezprawne wysyłanie informacji handlowych
Powierzenie danych osobowych – odpowiedzialność i orzecznictwo

5 Odpowiedzi

  1. jatamach

    brak zmianki , że samo udostępnienie danych osobowych jednej osobie nieupoważnionej zaznaczam tylko jednej nie wyczerpuje art 51 us 1

    1. Kancelaria Lex Artist

      Zagadnienie, które zostało poruszone bez wątpienia jest przedmiotem wielu dyskusji. Ustawodawca opisując czynność sprawczą art. 51 ust. 1 UODO posłużył się sformułowaniem „udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym”. W związku z tym powstało pytanie, czy w przypadku udostępnienia danych osobowych tylko jednej osobie nieupoważnionej można uznać, że już doszło do zrealizowania znamion przestępstwa z art. 51 ust. 1. Sąd Najwyższy w postanowieniu z 21 listopada 2007 r. (sygn. IV KK 376/07) uznał, że „udostępnienie danych lub umożliwienie do nich dostępu tylko jednej osobie nie wyczerpuje znamion omawianego przestępstwa”. Ówczesny GIODO stwierdził natomiast, że taka interpretacja jest zawężająca i prowadzi do faktycznego zwolnienia od odpowiedzialności karnej podmioty udostępniające dane osobowe bez podstawy prawnej.

  2. trafiony

    Zatem czy dostarczenie do Sądu Rejonowego Wydziału Rodzinnego i Nieletnich kopii orzeczeń Naczelnego Sądu Administracyjnego uzyskanych z ogólnodostępnej internetowej bazy orzeczeń http://www.orzeczenia.nsa.gov.pl dotyczących danej osoby związanej ze sprawą wyczerpuje znamiona czynu z art. 49,51,52 UODO ?
    Dodam, że w orzeczeniach na w/w stronach są tylko inicjały osób i początkowe litery miejscowości.
    Orzeczenia były dostarczone Sądowi Rejonowemu celem oceny wiarygodności danej osoby i jej tendencji do konfabulacji i Sąd miał wystąpić do NSA o kopie oryginałów.

  3. wojtek

    Podejzewam ze zostalo zlamane prawo o ochronie moich danych osobowych Otoz na zebraniu czlonkow spoldzielni mieszkaniowej zostalo wymienione moje nazwisko wraz z zadluzeniem jakie mam w spoldzielni Zadluzenie to nie wynika z niezpacenia czynszu tylko z pozostalej kwoty splaty kredytu jaki spoldzielnia zaciagnela na budowe bloku Prosze o odpowiedz

    1. Kancelaria Lex Artist

      Ciężko jest nam odpowiedzieć na Pańskie pytanie bez szczegółowej analizy sprawy o której Pan pisze. Na tym etapie możemy doradzić rozmowę w spółdzielni w celu uzyskania wyjaśnień zaistniałego problemu.

Zostaw odpowiedź