Skopiuj link
Podstawowe obowiązki administratora danych osobowych
Z chwilą rozpoczęcia przetwarzania danych osobowych administrator danych jest zobligowany do ich zabezpieczenia. Musi bowiem zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną („zwykłe” lub „wrażliwe”).
W szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Jednocześnie, zgodnie z art. 38 ustawy, jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Administrator bezpieczeństwa informacji (ABI)
Ustawa z dnia 29.08.1997 r. nakazuje administratorowi danych osobowych „powołanie” tzw. ABI. Zgodnie bowiem z art. 36 ust. 3 ustawy administrator danych wyznacza administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności.
Administrator danych został zdefiniowany w art. 7 pkt 4 (w związku z art. 3) ustawy. Może nim być osoba fizyczna, osoba prawna lub jednostka organizacyjna niebędąca osobą prawną.
Z regulacji art. 36 ust. 3 wynika, iż zasadą jest wytypowanie w zakładzie pracy osoby nadzorującej przestrzeganie zasad ochrony. Ustawodawca dopiero jako wyjątek ustanowił, iż administrator może być jednocześnie ABI.
W jednym ze swoich wyjaśnień GIODO uznał, iż administratorem bezpieczeństwa informacji nie może być inny podmiot niż osoba fizyczna. Zdaniem GIODO ABI nie musi być jednak pracownikiem administratora danych. „(…) może to być np. pracownik innego podmiotu, gdyż ustawa nie określa w ramach jakiego stosunku prawnego ABI może wykonywać swoje obowiązki. (…)”
Zdaniem NSA….
W kwestii relacji: administrator danych a ABI wypowiedział się Naczelny Sąd Administracyjny w jednym ze swoich orzeczeń z 21.02.2014r. wydanym w sprawie I OSK 2445/12 (LEX nr 1438663). Uznał w nim, iż „(…) Administrator danych osobowych, który nie wyznaczył administratora bezpieczeństwa informacji, nie może twierdzić, iż z mocy prawa wykonuje w takim przypadku obowiązki administratora bezpieczeństwa informacji samodzielnie. W tym zakresie przepis art. 36 ust. 3 ustawy o ochronie danych osobowych nie wprowadza żadnych domniemań, tak więc również samodzielne wykonywanie obowiązków administratora bezpieczeństwa informacji powinno zostać odnotowane w treści dokumentacji danych osobowych. (…)”
Podsumowując….
Niewątpliwie w każdym zakładzie pracy musi być ABI. Regułą jest rozdział funkcji administratora danych osobowych i ABI, co potwierdził NSA w swoim wyroku z 21.02.2014 r. Art. 36 ust. 3 ustawy nie stwarza domniemania w tej sprawie. Jeśli administrator danych osobowych jest osobą fizyczną i pełni jednocześnie funkcję ABI to musi to mieć swoje umocowanie prawne w wewnątrzzakładowych uregulowaniach związanych z zasadami przetwarzania danych osobowych.