W grę wchodzi również odpowiedzialność karna. Na mocy art. 51 ust. 1 ustawy ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
Przestępstwo z art. 51 ustawy jest indywidualne. Może je popełnić osoba administrująca zbiorem danych albo zobowiązana do ochrony takich zasobów. To oznacza, że do odpowiedzialności za wyciek z firmy personaliów załogi można pociągnąć zarówno szefa, jak i upoważnionego przez niego administratora danych czy umocowanego do przetwarzania danych pracownika działu kadr czy płac.
Co istotne, przestępstwem na podstawie tego przepisu mogą być dwie czynności: udostępnienie danych osobowych osobie nieuprawnionej oraz umożliwienie dostępu do nich. Nie jest istotne, czy działanie lub zaniechanie było umyślne czy nie.
Z udostępnianiem danych osobowych będziemy mieli do czynienia wyłącznie wtedy, gdy ich odbiorcą jest inny administrator danych, a więc podmiot decydujący o celach i środkach przetwarzania danych osobowych.
Do udostępnienia danych osobowych dojdzie zawsze wtedy, gdy administrator danych osobowych faktycznie przekaże bądź inaczej umożliwi zapoznanie się z danymi osobowymi innej osobie lub podmiotowi, który to podmiot pełni w stosunku do tych danych osobowych rolę administratora danych.
