W myśl art. 36 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU 101, poz. 926 ze zm.) administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane m.in. przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Z przepisu tego wynika, że to administrator danych ponosi odpowiedzialność za udostępnienie tych danych osobom nieupoważnionym i z odpowiedzialności nie zwalnia go to, że zaniedbanie powstało z winy innej osoby, w tym przypadku pracownika.
Administrator danych osobowych powinien przedsięwziąć odpowiednie środki zabezpieczające zgromadzone dane. ?Na nim ciąży ten obowiązek, ponieważ on najlepiej wie, ?a przynajmniej powinien wiedzieć, w jakim środowisku przetwarza dane osobowe i jakie mogą wystąpić w nim zagrożenia.
Nieprzestrzeganie zasad ochrony danych osobowych skutkuje narażeniem się na odpowiedzialność karną w myśl art. 49–54a ustawy o ochronie danych osobowych. Stosownie do art. 51 ww. ustawy kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
WNIOSEK
Jeżeli błąd lub zaniedbanie pracownika spowodowały nieuprawnione udostępnienie danych osobowych, ?to odpowiedzialność za ten czyn ponosi ?administrator danych osobowych, który nie zapewnił właściwej ochrony przetwarzanych danych. Pracownika, który zaniedbał swoje obowiązki, można natomiast pociągnąć do odpowiedzialności ?na podstawie kodeksu pracy.
