Obowiązek ustanowienia administratora bezpieczeństwa informacji

Na podmiotach będących administratorami danych osobowych spoczywa obowiązek stosowania środków technicznych oraz organizacyjnych, których celem jest skuteczna ochrona powierzonych im danych.

Jednym z obowiązków administratorów danych osobowych jest wyznaczanie osoby pełniącej funkcję administratora bezpieczeństwa informacji (tzw. ABI). Obowiązek ten został wprowadzony do regulacji krajowych na mocy nowelizacji z 22 stycznia 2004 roku. Rolą ABI jest nadzorowanie przestrzegania zasad ochrony danych osobowych.

Regulacja zawarta w art. 36 ust. 3 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych zwalnia administratorów z tego obowiązku wówczas, gdy ci sami pełnią funkcję ABI.

W praktyce pełnienie przez podmiot będący administratorem danych osobowych jednocześnie funkcji ABI możliwe jest wówczas, gdy administratorem jest osoba fizyczna samodzielnie przetwarzająca powierzone jej dane osobowe (np. przedsiębiorca prowadzący jednoosobową działalność gospodarczą).

Natomiast wówczas, gdy struktura administratora danych jest wieloosobowa, tak jak ma to miejsce np. w przypadku spółek prawa handlowego, konieczne jest wyznaczanie osoby fizycznej  i powierzenie jej funkcji ABI. Znajduje to potwierdzenie w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 5 lipca 2012 roku, sygn. akt II SA/Wa 630/12, jak również w wydanym w tej samej sprawie wyroku Naczelnego Sądu Administracyjnego z 21 lutego 2014 roku, sygn. I OSK 2445/12.

Oba sądy wskazały, że w przypadku gdy administratorem danych osobowych jest osoba prawna lub jednostka organizacyjna niemająca osobowości prawnej, wówczas spoczywa na niej obowiązek wyznaczenia administratora bezpieczeństwa danych, ponieważ pełnienie tej funkcji przez administratora danych nie jest możliwe.       

Piotr Stolarczyk
Radca prawny