Odpowiedzialność karna pracownika za przetwarzanie danych osobowych

Czy pracownik działu marketingu, realizujący kampanie marketingowe związane z wykorzystywaniem danych osobowych, może ponosić odpowiedzialność karną za niezgodne z ustawą o ochronie danych osobowych ich przetwarzanie?

Niektóre przepisy ustawy o ochronie danych osobowych przewidują możliwość poniesienia odpowiedzialności karnej za przetwarzanie danych w sposób niezgodny z jej postanowieniami nie tylko przez administratora danych, ale także przez każdego kto czyni to w sposób z nimi sprzeczny. Można zatem uznać, że w niektórych – ściśle w określonych w ustawie – przypadkach osobą, która  powyższa odpowiedzialność może ponieść będzie np. realizujący kampanię pracownik działu marketingu.

 

W świetle ustawy o ochronie danych osobowych pracownik może ponieść odpowiedzialność karną, jeżeli jest osobą zobowiązaną do ochrony danych osobowych, a mimo to udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym. Zgodnie z poglądem podzielanym w doktrynie, za osobę obowiązaną do ochrony danych osobowych uważa się wszystkie osoby fizyczne, przetwarzające dane osobowe np. na podstawie upoważnienia nadanego przez administratora danych.

 

Omawiana odpowiedzialność może powstać np. w sytuacji gdy pracownik realizujący kampanię marketingową, przekaże dane klientów innym pracownikom administratora danych, którzy nie zostali uprawnieni do dostępu do zbioru danych (nie uzyskali stosownego upoważnienia) lub umożliwi dostęp do danych innym osobom np. pozostawiając niezabezpieczone formularze marketingowe, na których klienci pozostawili swoje dane i w ten sposób da faktyczną możliwość zapoznanie się z danymi osobom trzecim.