ABI – forma prawna

Informacja w administracji publicznej | 02/2015

Czy administratorem bezpieczeństwa informacji może być inny podmiot niż osoba fizyczna?”

Odpowiedź

Nie, gdyż z przepisów o ochronie danych osobowych wynika, że funkcję tę może pełnić tylko osoba fizyczna.

Uzasadnienie

W ocenie Generalnego Inspektora Ochrony Danych Osobowych nie jest dopuszczalne, aby administratorem bezpieczeństwa informacji był inny, niż osoba fizyczna, podmiot. Również w literaturze przedmiotu stwierdza się, że „mimo że ustawa [o ochronie danych osobowych – red.] nie stanowi o tym wyraźnie, to należy przyjąć, że ABI powinien być osobą fizyczną, a w konsekwencji administrator danych może przejąć jego obowiązki tylko wtedy, gdy jest osobą fizyczną” (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2005, s. 252 i nast.). Zgodnie z art. 36 ust. 3 Ochr­DanychU istotą funkcji administratora bezpieczeństwa informacji jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych w celu zapewnienia danym bezpieczeństwa. Wykonywanie nadzoru w tym zakresie wiąże się z koniecznością dostępu do danych osobowych, a zgodnie z art. 37 Ochr­DanychU do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Niewątpliwie w powołanym przepisie chodzi o konkretne osoby fizyczne, które wymienione są w ewidencji osób upoważnionych do przetwarzania danych oraz które są zobowiązane zachować w tajemnicy dane i sposoby ich zabezpieczenia. Zastrzec przy tym należy, że administratorem bezpieczeństwa informacji nie musi być osoba zatrudniona u administratora danych, może to być np. pracownik innego podmiotu, gdyż ustawa nie określa, w ramach jakiego stosunku prawnego ABI może wykonywać swoje obowiązki. Jednak – jak podkreśla A. Drozd we wspomnianym komentarzu – „administrator danych powinien mieć wpływ na wybór konkretnej osoby, ponieważ zgodnie z art. 36 ust. 3 to administrator danych, a nie inny podmiot ma obowiązek wyznaczyć ABI, a ponadto powinien dołożyć szczególnej staranności, aby wybrana osoba dawała rękojmię prawidłowego wykonywania obowiązków w zakresie nadzoru nad przestrzeganiem zasad zabezpieczenia danych osobowych. Administrator danych powinien wyznaczyć ABI w sposób gwarantujący ciągłość wykonywania przez niego obowiązków. Nieprawidłowe byłoby np. zawarcie z przedsiębiorcą umowy o świadczenie usług w zakresie kontroli przestrzegania przepisów dotyczących zabezpieczenia danych osobowych, jeżeli umowa ta pozostawiałaby temu przedsiębiorcy dowolność w zakresie wyznaczania osób pełniących obowiązki ABI u będącego jej stroną administratora danych”.

Podstawa prawna

  • art. 36 ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.)