Powołanie ABI – obowiązkowe, czy fakultatywne?

Informacja w administracji publicznej | 02/2015
Tomasz Osiej

Czy aktualnie powołanie administratora bezpieczeństwa informacji jest obowiązkowe.”

ODPOWIEDŹ

Nie. Powołanie administratora bezpieczeństwa informacji nie jest obowiązkowe – można je określić jako uprawnienie administratora danych.

Uzasadnienie

Wprowadzony na podstawie ustawy z 7.11.2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662) art. 36a ust. 1 ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.) przewiduje, że administrator danych może powołać administratora bezpieczeństwa informacji. Oznacza to, że powołanie takiej osoby nie jest konieczne. Odmiennie przedstawiała się sytuacja na gruncie przepisów obowiązujących w tym zakresie przed 1.1.2015 r. Generalny Inspektor Ochrony Danych Osobowych stał bowiem na stanowisku, że z ówczesnej treści art. 36 ust. 3 ustawy o ochronie danych osobowych wynika obowiązek wyznaczenia administratora bezpieczeństwa informacji, w przypadku gdy administratorem danych nie jest osoba fizyczna. Przepis ten stanowił, że administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. Prawidłowość ww. stanowiska potwierdziło orzecznictwo sądowe. Wojewódzki Sąd Administracyjny w Warszawie w uzasadnieniu wyroku z 5.7.2012 r. (II SA/Wa 630/12, Legalis), rozpatrując skargę na decyzję Generalnego Inspektora Ochrony Danych Osobowych dotyczącą nakazania usunięcia uchybienia w procesie przetwarzania danych osobowych przez wyznaczenie administratora bezpieczeństwa informacji – wskazał, że „prawodawca zdecydował o takim właśnie brzmieniu art. 36 ust. 3 ustawy, wprowadzając obowiązek, by osobą odpowiedzialną za nadzór i bezpieczeństwo przetwarzania danych osobowych w podmiotach o wieloosobowej strukturze organizacyjnej była konkretnie wskazana osoba fizyczna”. Ze stanowiskiem o występowaniu co do zasady obowiązku powołania administratora bezpieczeństwa informacji zgodził się również Naczelny Sąd Administracyjny w wyroku z 21.2.2014 r. (I OSK 2445/12, Legalis).

Podstawa prawna

  • art. 36a ust. 1 ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.)
Tomasz Osiej
Radca Prawny
Firma doradcza Omni Modo
www.omnimodo.com.pl