Wykradzenie danych osobowych klienta i przesłanie osobom trzecim

Spółka jako administrator danych

Spółki handlowe, w tym spółki z o.o. czy spółki jawne, są administratorami danych osobowych. Jako przedsiębiorcy przetwarzają dane osobowe swoich klientów, współpracowników czy pracowników na zasadach dotyczących innych podmiotów, do których stosuje się przepisy RODO.

Administratorem nie jest zarząd spółki z o.o. czy osoba lub osoby pełniące funkcję członka zarządu. Administratorem nie jest również pracownik spółki, któremu powierzono wykonywanie obowiązków związanych z ochroną danych osobowych w spółce.

Zarząd spółki uprawniony do administrowania danymi

Administratorem danych jest sama spółka z o.o., lecz obowiązki administratora danych osobowych (ADO) pełni w niej zarząd. Zgodnie bowiem z Kodeksem spółek handlowych zarząd posiada prawo reprezentowania administratora danych osobowych oraz prowadzi sprawy spółki. W przypadku zarządu jednoosobowego wszystkie uprawnienia do reprezentacji spółki przysługują jedynemu jego członkowi. Z kolei w zarządzie wieloosobowym zasady reprezentacji określa umowa spółki lub stosowane są zasady reprezentacji określone w Kodeksie. Zakładam jednak, że o tym już wiecie.

W przypadku gdy administratorem danych jest spółka prawa handlowego (spółka jawna, partnerska, komandytowa, komandytowo-akcyjna, z ograniczoną odpowiedzialnością, akcyjna), może być problematyczne ustalenie, w jaki sposób uregulować status prawny jej wspólników lub członków organów w zakresie dostępu do danych osobowych i ich przetwarzania.

Przetwarzanie danych

Ponieważ przepisy RODO nie wskazują wprost, że upoważnienie do przetwarzania danych osobowych jest jedyną właściwą formą zapewnienia dostępu do danych osobowych. Art. 29 ustawy RODO mówi, że„ podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”.

Z kolei zgodnie z art. 32 ust. 4 „administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego”.

Z tych przepisów wynika, że forma zarządzania uprawnieniami do przetwarzania danych osobowych musi zostać wdrożona przez administratora. Nie wiem, jak jest/było u Państwa w spółce.

Udostępnienie/kradzież danych

Jeśli więc mąż nie był upoważniony do dostępu do tych danych – to mamy do czynienia z kradzieżą danych albo tylko z bezprawnym udostępnieniem – jeśli miał do nich legalny dostęp.

Zgodnie z definicją z RODO naruszeniem danych osobowych jest naruszenie bezpieczeństwa danych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

Zgłoszenie wykradzenia danych

W przypadku wystąpienia naruszenia danych osobowych administrator danych ma 72 godziny na zgłoszenie naruszenia do organu nadzorczego, czyli Urzędu Ochrony Danych Osobowych.

Zgłoszenie naruszenia ochrony danych osobowych można dokonać poprzez:

• elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl,
• elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP,
• elektronicznie poprzez wypełnienie dedykowanego formularza dostępnego na platformie biznes.gov.pl,
• tradycyjnie pocztą poprzez wysłanie wypełnionego formularza na adres Urzędu Ochrony Danych Osobowych.