1. Odpowiedzialność karna
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) - dalej u.o.d.o. przewiduje sześć podstawowych typów przestępstw związanych z naruszeniem zasad ochrony danych osobowych (art. 49-54a u.o.d.o.). Ustawa penalizuje niedopuszczalne lub nieuprawnione przetwarzanie danych osobowych, udostępnianie danych osobom nieupoważnionym, niezabezpieczenie danych osobowych, naruszenie obowiązku zgłoszenia do rejestracji zbioru danych, niedopełnienie obowiązków informacyjnych oraz udaremnienie lub utrudnianie wykonania czynności kontrolnej inspektorowi. Należy podkreślić, że każde z wyżej wymienionych przestępstw może być popełnione wyłącznie przez osoby fizyczne – najczęściej administratora danych osobowych lub kierującego daną jednostką organizacyjną. Ściganie następuje z urzędu.
2. Odpowiedzialność administracyjna
Jak stanowi art. 18 u.o.d.o. Generalny Inspektor Ochrony Danych Osobowych w razie stwierdzenia naruszenia przepisów o ochronie danych może w drodze decyzji administracyjnej, nakazać przywrócenie stanu zgodnego z prawem.
Decyzja ta może zostać wydana z urzędu lub z inicjatywy osoby zainteresowanej. Elementy składowe decyzji, tryb odwoławczy oraz zasady prowadzenia postępowania, jako że nie zostały uregulowane w u.o.d.o. należy - w związku z brzmieniem art. 22 u.o.d.o. - co do zasady ustalać w oparciu o przepisy ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (tekst jedn.: Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.).
3. Odpowiedzialność cywilna
Podmiot występujący w roli administratora danych w efekcie nieprzestrzegania przepisów u.o.d.o. może ponosić odpowiedzialność cywilnoprawną, przede wszystkim z tytułu naruszenia dóbr osobistych. na zasadach określonych w ustawie z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. Nr 16, poz. 93 z późn. zm.) - dalej k.c.
Na gruncie art. 24 k.c. pracownikowi, którego dane osobowe przetwarzano z naruszeniem prawa przysługują przeciwko pracodawcy roszczenia o dwojakim charakterze: majątkowym i niemajątkowym. Do środków ochrony prawnej o charakterze majątkowym zaliczyć należy: roszczenie o naprawienie szkody (art. 24 § 2 k.c.), roszczenie o zadośćuczynienie pieniężne za doznaną krzywdę (art. 445 § 1 k.c.) oraz roszczenie o zapłatę określonej sumy na cel społeczny (art. 448 k.c.). Charakter niemajątkowy mają żądanie zaniechania naruszeń (w sytuacji zagrożenia dobra osobistego) oraz żądanie dopełnienia czynności potrzebnych do usunięcia skutków dokonanego naruszenia, w szczególności złożenia oświadczenia odpowiedniej treści i w odpowiedniej formie (art. 24 § 1 k.c.).
Konsekwencje naruszenia zasad gromadzenia i przetwarzania danych osobowych przez pracodawcę
Na pracodawcy jako na administratorze danych osobowych pracowników spoczywa szereg obowiązków w zakresie legalności przetwarzania danych, rejestrowania zbiorów danych oraz prawidłowego zabezpieczenia pozyskiwanych informacji. Nieprzestrzeganie zasad dotyczących zakresu i trybu przetwarzania danych osobowych niesie za sobą ważkie konsekwencje, gdyż naraża na pociągnięcie do trojakiej odpowiedzialności: karnej, administracyjnej, jak i cywilnej. W swoim komentarzu Paulina Zawadzka-Filipczyk zanalizowała przesłanki determinujące odpowiedzialność pracodawcy w razie uchybienia regułom ochrony pracowniczych danych osobowych. Niniejsza publikacji stanowi streszczenie komentarza dostępnego w Serwisie BHP.