W grę wchodzi również odpowiedzialność karna. Na mocy art. 51 ust. 1 ustawy ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
Przestępstwo z art. 51 ustawy jest indywidualne. Może je popełnić osoba administrująca zbiorem danych albo zobowiązana do ochrony takich zasobów. To oznacza, że do odpowiedzialności za wyciek z firmy personaliów załogi można pociągnąć zarówno szefa, jak i upoważnionego przez niego administratora danych czy umocowanego do przetwarzania danych pracownika działu kadr czy płac.
Co istotne, przestępstwem na podstawie tego przepisu mogą być dwie czynności: udostępnienie danych osobowych osobie nieuprawnionej oraz umożliwienie dostępu do nich. Nie jest istotne, czy działanie lub zaniechanie było umyślne czy nie.
Z udostępnianiem danych osobowych będziemy mieli do czynienia wyłącznie wtedy, gdy ich odbiorcą jest inny administrator danych, a więc podmiot decydujący o celach i środkach przetwarzania danych osobowych.
Do udostępnienia danych osobowych dojdzie zawsze wtedy, gdy administrator danych osobowych faktycznie przekaże bądź inaczej umożliwi zapoznanie się z danymi osobowymi innej osobie lub podmiotowi, który to podmiot pełni w stosunku do tych danych osobowych rolę administratora danych.
Kiedy bez przestępstwa
Nie stanowi natomiast udostępniania danych i nie podlega ograniczeniom z ustawy o ochronie danych osobowych lub ustaw szczególnych przekazywanie danych osobowych w zakresie struktury organizacyjnej administratora danych osobowych.
Jako udostępnienia danych nie można też kwalifikować przekazania ich podmiotowi, któremu zlecono ich przetwarzanie (tak: Paweł Barta, Paweł Litwiński [w:] Ustawa o ochronie danych osobowych. Komentarz, C.H. Beck, Warszawa 2009).
