UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

PRZEJDŹ NA NOWĄ STRONĘ (UODO)
POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Czy administratorem bezpieczeństwa informacji może być inny podmiot niż osoba fizyczna?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska - Jasak 2011-08-30
Wprowadził‚ informację: 2008-07-28 14:33:20
Ostatnio modyfikował: Robert Czapski 2013-11-28 12:56:59

Nie, gdyż z przepisów o ochronie danych osobowych wynika, że funkcję tą może pełnić tylko osoba fizyczna.

Uzasadnienie

W ocenie Generalnego Inspektora Ochrony Danych Osobowych nie jest dopuszczalne, aby administratorem bezpieczeństwa informacji był inny, niż osoba fizyczna,  podmiot. Również w literaturze przedmiotu stwierdza się, że "mimo że ustawa o.d.o. nie stanowi o tym wyraźnie, to należy przyjąć, że ABI powinien być osobą fizyczną, a w konsekwencji administrator danych może przejąć jego obowiązki tylko wtedy, gdy jest osobą fizyczną" (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis 2005, str. 252 i nast.).

Zgodnie z art. 36 ust. 3 ustawy o ochronie danych osobowych istotą funkcji administratora bezpieczeństwa informacji jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych w celu zapewnienia danym bezpieczeństwa. Wykonywanie nadzoru w tym zakresie wiąże się z koniecznością dostępu do danych osobowych, a zgodnie z art. 37 ustawy o ochronie danych osobowych do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Niewątpliwie w  powołanym przepisie chodzi o konkretne osoby fizyczne, które wymienione są w ewidencji osób upoważnionych do przetwarzania danych oraz które są zobowiązane zachować w tajemnicy dane i sposoby ich zabezpieczenia.

Zastrzec przy tym należy, że administratorem bezpieczeństwa informacji nie musi być osoba zatrudniona u  administratora danych, może to być np. pracownik innego podmiotu, gdyż ustawa nie określa w ramach jakiego stosunku prawnego ABI może wykonywać swoje obowiązki. Jednakże - jak podkreśla A. Drozd we wspomnianym komentarzu - "administrator danych powinien mieć wpływ na wybór konkretnej osoby, ponieważ zgodnie z art. 36 ust. 3 to administrator danych, a nie inny podmiot ma obowiązek wyznaczyć ABI, a ponadto powinien dołożyć szczególnej staranności, aby wybrana osoba dawała rękojmie prawidłowego wykonywania obowiązków w zakresie nadzoru nad przestrzeganiem zasad zabezpieczenia danych osobowych. Administrator danych powinien wyznaczyć ABI w sposób gwarantujący ciągłość wykonywania przez niego obowiązków. Nieprawidłowe byłoby np. zawarcie z przedsiębiorcą umowy o świadczenie usług w zakresie kontroli przestrzegania przepisów dotyczących zabezpieczenia danych osobowych, jeżeli umowa ta pozostawiałaby temu przedsiębiorcy dowolność w zakresie wyznaczania osób pełniących obowiązki ABI u będącego jej stroną administratora danych."

Ostatnie aktualności