Czy administratorem bezpieczeństwa informacji może być inny podmiot niż osoba fizyczna?
Podmiot udostępniający: | Zespół Rzecznika Prasowego Biura GIODO | |
Wytworzył informację: | Małgorzata Kałużyńska - Jasak | 2011-08-30 |
Wprowadził‚ informację: | 2008-07-28 14:33:20 | |
Ostatnio modyfikował: | Robert Czapski | 2013-11-28 12:56:59 |
Nie, gdyż z przepisów o ochronie danych osobowych wynika, że funkcję tą może pełnić tylko osoba fizyczna.
Uzasadnienie
W ocenie Generalnego Inspektora Ochrony Danych Osobowych nie jest dopuszczalne, aby administratorem bezpieczeństwa informacji był inny, niż osoba fizyczna, podmiot. Również w literaturze przedmiotu stwierdza się, że "mimo że ustawa o.d.o. nie stanowi o tym wyraźnie, to należy przyjąć, że ABI powinien być osobą fizyczną, a w konsekwencji administrator danych może przejąć jego obowiązki tylko wtedy, gdy jest osobą fizyczną" (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis 2005, str. 252 i nast.).
Zgodnie z art. 36 ust. 3 ustawy o ochronie danych osobowych istotą funkcji administratora bezpieczeństwa informacji jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych w celu zapewnienia danym bezpieczeństwa. Wykonywanie nadzoru w tym zakresie wiąże się z koniecznością dostępu do danych osobowych, a zgodnie z art. 37 ustawy o ochronie danych osobowych do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Niewątpliwie w powołanym przepisie chodzi o konkretne osoby fizyczne, które wymienione są w ewidencji osób upoważnionych do przetwarzania danych oraz które są zobowiązane zachować w tajemnicy dane i sposoby ich zabezpieczenia.
Zastrzec przy tym należy, że administratorem bezpieczeństwa informacji nie musi być osoba zatrudniona u administratora danych, może to być np. pracownik innego podmiotu, gdyż ustawa nie określa w ramach jakiego stosunku prawnego ABI może wykonywać swoje obowiązki. Jednakże - jak podkreśla A. Drozd we wspomnianym komentarzu - "administrator danych powinien mieć wpływ na wybór konkretnej osoby, ponieważ zgodnie z art. 36 ust. 3 to administrator danych, a nie inny podmiot ma obowiązek wyznaczyć ABI, a ponadto powinien dołożyć szczególnej staranności, aby wybrana osoba dawała rękojmie prawidłowego wykonywania obowiązków w zakresie nadzoru nad przestrzeganiem zasad zabezpieczenia danych osobowych. Administrator danych powinien wyznaczyć ABI w sposób gwarantujący ciągłość wykonywania przez niego obowiązków. Nieprawidłowe byłoby np. zawarcie z przedsiębiorcą umowy o świadczenie usług w zakresie kontroli przestrzegania przepisów dotyczących zabezpieczenia danych osobowych, jeżeli umowa ta pozostawiałaby temu przedsiębiorcy dowolność w zakresie wyznaczania osób pełniących obowiązki ABI u będącego jej stroną administratora danych."