Administrator danych odpowiada za ich nielegalne ujawnienie

- Kto odpowiada za ujawnienie danych pozyskanych z dokumentów rekrutacyjnych osób starających się o pracę. W naszej firmie dane te ujawnił jeden z pracowników. Czy w takim wypadku za złamanie reguł może odpowiadać pracodawca?

– pyta czytelnik.

Odpowiadając na to pytanie, należy się skoncentrować na przepisach odnoszących się do ochrony danych osobowych.

Są one zawarte w ustawie z 29 sierpnia 1997 o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.). Przede wszystkim należy zaznaczyć, że jej przepisy mogą odnosić się do działalności przedsiębiorców.

Zgodnie bowiem z art. 3 ust. 2 ustawę stosuje się do osób fizycznych i prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Z kolei zgodnie z art. 26 ust. 1 to administrator danych ma obowiązek dołożyć szczególnej staranności w celu ochrony interesów osób, których dane przetwarza.

Przepis ten precyzuje, że w szczególności jest on zobowiązany zapewnić, aby dane te były:

- przetwarzane zgodnie z prawem,

- zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu, niezgodnemu z tymi celami,

- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Zapewnić środki

Ochrona wspomnianych interesów osób, których dane firma pozyskała np. w procesie rekrutacji, w szczególności będzie polegała na przeciwdziałaniu ich nielegalnemu ujawnieniu. Nie powinno bowiem budzić wątpliwości, że takie działanie z wielu różnych powodów może uderzać w interesy takich osób.

Oczywiste jest, że mogą być one zainteresowane ukryciem faktu ubiegania się o posadę w konkretnej firmie lub na konkretne stanowisko. Dlatego też administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych. Stanowi o tym art. 36.

Środki te muszą być adekwatne do zagrożeń oraz kategorii danych objętych ochroną. Administrator powinien w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Wspomniane środki techniczne i organizacyjne muszą zostać zdefiniowane i opisane. Jak stanowi bowiem art. 36  ust. 2, administrator prowadzi dokumentację opisującą sposób przetwarzania danych i środki służące ich zabezpieczeniu.

Ponadto w myśl art. 38 jest on zobowiązany do zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby mające upoważnienie nadane przez administratora danych. Ciąży na nich obowiązek zachowania w tajemnicy uzyskanych informacji oraz sposobów ich zabezpieczenia.

Co grozi za ujawnienie

Wreszcie należy spojrzeć na przepisy karne ustanowione w przepisach. W myśl art. 51 kto administrując zbiorem danych lub będąc zobowiązanym do ochrony danych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia albo pozbawienia wolności do roku. Karane jest także nieumyślne naruszenie obowiązku zabezpieczenia danych przed ich zabraniem przez osobę nieupoważnioną, uszkodzeniem lub zniszczeniem (art. 52).

Jak zatem wynika z wszystkich zacytowanych przepisów, to przede wszystkim administrator danych ma obowiązek dbania, aby dane osobowe były odpowiednio zabezpieczone, i odpowiada w szczególności za ich niedozwolone ujawnienie.

Kto jest zatem administratorem danych? Jest to organ, jednostka organizacyjna, podmiot lub osoba, która decyduje o celach i środkach przetwarzania danych osobowych. Tak więc administratorem danych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest ten właśnie przedsiębiorca.

W sytuacji gdy pracownik uzyskał dostęp do danych osobowych innych osób, np. w związku z postępowaniem rekrutacyjnym, ma on bezwzględny obowiązek zachowania poufności.

Ich udostępnienie osobom nieupoważnionym obciąża nie tylko tego pracownika, lecz także administratora danych, który ponosi pełną odpowiedzialność za ich przetwarzanie, w tym w szczególności za ich bezpieczeństwo.