Wiadomości
Czy administrator danych osobowych może być ABI?
17 lipca 2014
W świetle aktualnie obowiązujących przepisów ustawy o ochronie danych osobowych na administratorze danych ciąży szereg prawno-organizacyjnych oraz technicznych obowiązków związanych
z przetwarzaniem danych osobowych, a także nadzór nad przestrzeganiem zasad ochrony tych danych. Czy administrator danych osobowych może być administratorem bezpieczeństwa informacji (ABI)?
Podstawowe obowiązki administratora danych osobowych
Z chwilą rozpoczęcia przetwarzania danych osobowych administrator danych jest zobligowany do ich zabezpieczenia. Musi bowiem zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną („zwykłe” lub „wrażliwe”).
W szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Jednocześnie, zgodnie z art. 38 ustawy, jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Administrator bezpieczeństwa informacji (ABI)
Ustawa z dnia 29.08.1997 r. nakazuje administratorowi danych osobowych „powołanie” tzw. ABI. Zgodnie bowiem z art. 36 ust. 3 ustawy administrator danych wyznacza administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności.
Administrator danych został zdefiniowany w art. 7 pkt 4 (w związku z art. 3) ustawy. Może nim być osoba fizyczna, osoba prawna lub jednostka organizacyjna niebędąca osobą prawną.
Z regulacji art. 36 ust. 3 wynika, iż zasadą jest wytypowanie w zakładzie pracy osoby nadzorującej przestrzeganie zasad ochrony. Ustawodawca dopiero jako wyjątek ustanowił, iż administrator może być jednocześnie ABI.
W jednym ze swoich wyjaśnień GIODO uznał, iż administratorem bezpieczeństwa informacji nie może być inny podmiot niż osoba fizyczna. Zdaniem GIODO ABI nie musi być jednak pracownikiem administratora danych. „(…) może to być np. pracownik innego podmiotu, gdyż ustawa nie określa w ramach jakiego stosunku prawnego ABI może wykonywać swoje obowiązki. (…)”
Zdaniem NSA….
W kwestii relacji: administrator danych a ABI wypowiedział się Naczelny Sąd Administracyjny w jednym ze swoich orzeczeń z 21.02.2014r. wydanym w sprawie I OSK 2445/12 (LEX nr 1438663). Uznał w nim, iż „(…) Administrator danych osobowych, który nie wyznaczył administratora bezpieczeństwa informacji, nie może twierdzić, iż z mocy prawa wykonuje w takim przypadku obowiązki administratora bezpieczeństwa informacji samodzielnie. W tym zakresie przepis art. 36 ust. 3 ustawy o ochronie danych osobowych nie wprowadza żadnych domniemań, tak więc również samodzielne wykonywanie obowiązków administratora bezpieczeństwa informacji powinno zostać odnotowane w treści dokumentacji danych osobowych. (…)”
Podsumowując….
Niewątpliwie w każdym zakładzie pracy musi być ABI. Regułą jest rozdział funkcji administratora danych osobowych i ABI, co potwierdził NSA w swoim wyroku z 21.02.2014 r. Art. 36 ust. 3 ustawy nie stwarza domniemania w tej sprawie. Jeśli administrator danych osobowych jest osobą fizyczną i pełni jednocześnie funkcję ABI to musi to mieć swoje umocowanie prawne w wewnątrzzakładowych uregulowaniach związanych z zasadami przetwarzania danych osobowych.
Z chwilą rozpoczęcia przetwarzania danych osobowych administrator danych jest zobligowany do ich zabezpieczenia. Musi bowiem zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną („zwykłe” lub „wrażliwe”).
W szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Jednocześnie, zgodnie z art. 38 ustawy, jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Administrator bezpieczeństwa informacji (ABI)
Ustawa z dnia 29.08.1997 r. nakazuje administratorowi danych osobowych „powołanie” tzw. ABI. Zgodnie bowiem z art. 36 ust. 3 ustawy administrator danych wyznacza administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności.
Administrator danych został zdefiniowany w art. 7 pkt 4 (w związku z art. 3) ustawy. Może nim być osoba fizyczna, osoba prawna lub jednostka organizacyjna niebędąca osobą prawną.
Z regulacji art. 36 ust. 3 wynika, iż zasadą jest wytypowanie w zakładzie pracy osoby nadzorującej przestrzeganie zasad ochrony. Ustawodawca dopiero jako wyjątek ustanowił, iż administrator może być jednocześnie ABI.
W jednym ze swoich wyjaśnień GIODO uznał, iż administratorem bezpieczeństwa informacji nie może być inny podmiot niż osoba fizyczna. Zdaniem GIODO ABI nie musi być jednak pracownikiem administratora danych. „(…) może to być np. pracownik innego podmiotu, gdyż ustawa nie określa w ramach jakiego stosunku prawnego ABI może wykonywać swoje obowiązki. (…)”
Zdaniem NSA….
W kwestii relacji: administrator danych a ABI wypowiedział się Naczelny Sąd Administracyjny w jednym ze swoich orzeczeń z 21.02.2014r. wydanym w sprawie I OSK 2445/12 (LEX nr 1438663). Uznał w nim, iż „(…) Administrator danych osobowych, który nie wyznaczył administratora bezpieczeństwa informacji, nie może twierdzić, iż z mocy prawa wykonuje w takim przypadku obowiązki administratora bezpieczeństwa informacji samodzielnie. W tym zakresie przepis art. 36 ust. 3 ustawy o ochronie danych osobowych nie wprowadza żadnych domniemań, tak więc również samodzielne wykonywanie obowiązków administratora bezpieczeństwa informacji powinno zostać odnotowane w treści dokumentacji danych osobowych. (…)”
Podsumowując….
Niewątpliwie w każdym zakładzie pracy musi być ABI. Regułą jest rozdział funkcji administratora danych osobowych i ABI, co potwierdził NSA w swoim wyroku z 21.02.2014 r. Art. 36 ust. 3 ustawy nie stwarza domniemania w tej sprawie. Jeśli administrator danych osobowych jest osobą fizyczną i pełni jednocześnie funkcję ABI to musi to mieć swoje umocowanie prawne w wewnątrzzakładowych uregulowaniach związanych z zasadami przetwarzania danych osobowych.
Zobacz także:
- Umowa cywilnoprawna czy stosunek pracy? Z orzecznictwa Sądu Najwyższego…
- Rozporządzenie w sprawie refundacji składek na ubezpieczenie społeczne osób niepełnosprawnych
- Zasady zwalniania pracownika od pracy w razie choroby niani, z którą rodzina zawarła umowę uaktywniającą, dziennego opiekuna dziecka albo w razie nieprzewidzianego zamknięcia klubu dziecięcego
Jeśli powyższy artykuł okazał się interesujący i chcieliby Państwo na bieżąco otrzymywać najnowsze aktualności branżowe na swój telefon komórkowy, wystarczy pobrać i zainstalować naszą APLIKACJĘ MOBILNĄ.
All rights reserved PCKP Data aktualizacji: 2023-03-06