Ответственность как раз и должна наступать за необеспечение сохранности личных данных. А уж кто их скомуниздил, как и зачем - это отдельное (уголовное) дело.
Например, я в Банке коварно узнаю сумму Вашего вклада и расклею с этим листовки по Пойме
По идее должны завести два дела (если будут соответствующие обращения и т.д.) : первое - на меня, за то, что я коварно узнал и опубликовал личные данные, а второе - на Банк, что он не предпринял достаточных мер для того, чтобы я не смог коварно узнать эти данные