Strona główna Odpowiedzi na pytania dotyczące ustawy o ochronie danych osobowych
dotyczące ustawy o ochronie danych osobowych

Czy za nieuprawnione udostępnienie danych osobowych odpowiedzialność ponosi administrator danych, czy osoba, która faktycznie do tego dopuściła (np. pracownik firmy)?

Ikona drukuj
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak2010-07-30
Wprowadził informację: Robert Czapski2010-07-30 14:28:52
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Odpowiedzialność ponosi administrator danych, gdyż to jego ustawa o ochronie danych osobowych zobowiązuje do właściwego zabezpieczenia przetwarzanych danych osobowych.

Uzasadnienie

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zobowiązuje każdego administratora danych do dbałości o dane osobowe, a przepisy jej rozdziału 5 określają ogólne zasady ich zabezpieczania. Zgodnie z jej art. 36 ust. 1, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane m.in. przed ich udostępnieniem osobom nieupoważnionym. Wybór odpowiednich środków gwarantujących przetwarzanym danym optymalny stopień zabezpieczenia pozostawia jednak do uznania konkretnemu administratorowi danych osobowych, gdyż to on najlepiej wie w jakim środowisku przetwarza dane osobowe i jakie mogą wystąpić w nim zagrożenia.

Za nieprzestrzeganie zasad ochrony danych osobowych ustawa o ochronie danych osobowych przewiduje odpowiedzialność karną (art. 49 – art. 54a). Przykładowo, za udostępnienie danych osobom nieupoważnionym grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do 2 lat lub do roku, jeśli sprawca działa nieumyślnie.

A zatem błąd pracownika, który doprowadził do udostępnienia danych jest niczym nieusprawiedliwionym zaniedbaniem obowiązków administratora danych osobowych i nie zwalnia go z odpowiedzialności za niewłaściwą ochronę przetwarzanych danych osobowych.