[b]Zgodnie z ustawą [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=8B9409690A4959AE5E3437459284097C?id=166335]o ochronie danych osobowych[/link] administrator danych osobowych może powołać tzw. administratora bezpieczeństwa informacji. Z przepisów nie wynika wyraźnie, czy musi to być pracownik firmy i czy administrator bezpieczeństwa musi być osobą fizyczną. Ponieważ chcemy powołać taki podmiot w firmie, prosimy o wyjaśnienie tej kwestii[/b] – pisze czytelnik.
Zacznijmy od tego, że administrator danych osobowych może wyznaczyć administratora bezpieczeństwa informacji (ABI), który nadzoruje przestrzeganie reguł i zasad ochrony przyjętych w firmie, jeżeli nie robi tego sam administrator. Innymi słowy, jeżeli administrator sam wykonuje takie czynności, nie ma obowiązku powoływania ABI.
Natomiast w razie powoływania administratora bezpieczeństwa informacji ustawa o ochronie danych osobowych nie określa, w ramach jakiego stosunku prawnego może on wykonywać swoje obowiązki. Nic nie stoi na przeszkodzie, aby była to osoba spoza firmy, w szczególności pracownik innego przedsiębiorcy.
Należy jednak pamiętać, że niezależnie od tego czy jest to pracownik firmy czy osoba z zewnątrz, przepisy wskazują tryb powołania takiej osoby. W obu przypadkach wyznaczającym jest administrator danych.
Wyraźnie stanowi o tym art. 36 ust. 3 ustawy o ochronie danych osobowych (dalej uodo). Wybrana w ten sposób osoba powinna dawać rękojmię prawidłowego wykonywania obowiązków w zakresie nadzoru nad przestrzeganiem zasad bezpieczeństwa.
Czy ABI musi być osobą fizyczną, czy może być to inny podmiot?
W pierwszej kolejności warto uwzględnić oficjalne stanowisko GIODO. Jego zdaniem [b]powołanie na to stanowisko innego podmiotu niż osoba fizyczna jest niedopuszczalne[/b] - [b][link=http://www.rp.pl/artykul/586684.html]zobacz stanowisko GIODO[/link][/b].
Zgodnie z art. 36 ust. 3 uodo istotą funkcji ABI jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych w celu zapewnienia danym bezpieczeństwa. Wykonywanie nadzoru w tym zakresie wiąże się z koniecznością dostępu do danych osobowych, a zgodnie z art. 37 uodo do przetwarzania danych mogą być dopuszczone wyłącznie osoby mające upoważnienie nadane przez administratora danych.
Niewątpliwie w powołanym przepisie chodzi o konkretne osoby fizyczne, które są wymienione w ewidencji osób upoważnionych do przetwarzania danych i zobowiązane zachować w tajemnicy dane i sposoby ich zabezpieczenia. Zatem ABI musi być osobą fizyczną.
Wróćmy na chwilę do sytuacji, gdy jest to pracownik innej firmy, który na podstawie umowy zajmuje się świadczeniem usług w zakresie kontroli przestrzegania przepisów dotyczących zabezpieczenia danych osobowych. Warto zaznaczyć, że nawet w przypadku takiej współpracy nie może mieć on prawa do samodzielnego wyznaczania ABI.
Taki obowiązek i uprawnienie, o czym już wspomnieliśmy, ma wyłącznie administrator danych (zobacz np. A. Drozd „Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy”, Wydawnictwo Prawnicze Lexis-Nexis 2005, str. 252 i nast).
Innymi słowy w przypadku takiej współpracy zapisy umowy muszą stanowić o prawie wyboru takiej osoby przez administratora danych.