Temat: ABI musi zostać wyznaczony w spółkach z o.o., akcyjnych, etc

Wygląda na to, że w przypadku gdy administratorem danych jest podmiot inny niż osoba fizyczna, wyznaczenie ABI jest obowiązkowe >> http://www.e-ochronadanych.pl/a,1730,ii-sa-wa-630-12.html

Skoro bowiem ustawa o ochronie danych osobowych wskazuje w art. 7 pkt 4, że administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych, to nie powinno budzić wątpliwości, że w każdej sytuacji, w której struktura organizacyjna administratora danych jest wieloosobowa, powinien on w ramach tej struktury wyznaczyć osobę fizyczną odpowiedzialną za wykonywanie czynności nadzorczych, powierzając jej obowiązki administratora bezpieczeństwa informacji, i to niezależnie od tego, czy administrator danych jest organem, jednostką organizacyjną, podmiotem czy osobą prawną. Wychodząc z reguł wykładni celowościowej, warto zwrócić uwagę, że ustawodawca, tworząc podstawy bezpieczeństwa w procesie przetwarzania danych osobowych (art. 36 – art. 39 ww. ustawy), swą uwagę koncentruje na odpowiedzialności i możliwości jej egzekwowania, zwłaszcza w wymiarze prawnokarnym (Rozdział 8 ustawy), co w przypadku podmiotów o wieloosobowej strukturze organizacyjnej jest szczególnie ważne. W przepisach prawnokarnych ustawy o ochronie danych osobowych (art. 51, art. 52, art. 53, art. 54) chodzi bowiem o przestępstwa indywidualne, popełniane w związku z naruszeniem przepisów tej ustawy, a więc rzecz dotyczy odpowiedzialności konkretnych osób fizycznych, zważywszy że ustawa rozróżnia pojęcia "administratora danych" i "administrującego zbiorem danych". To z tego względu prawodawca zdecydował o takim właśnie brzmieniu art. 36 ust. 3 ustawy, wprowadzając obowiązek, by osobą odpowiedzialną za nadzór i bezpieczeństwo przetwarzania danych osobowych w podmiotach o wieloosobowej strukturze organizacyjnej była konkretnie wskazana osoba fizyczna. Jedynie bowiem w przypadku administratorów danych, będących osobami fizycznymi, którzy samodzielnie (osobiście) administrują proces przetwarzania danych, ustawa nie nakłada obowiązku wyznaczenia administratora bezpieczeństwa informacji, gdyż tylko w takiej sytuacji administrator danych jednocześnie dzierży uprawnienia i obowiązki administratora bezpieczeństwa informacji, co pozwala na ustalenie jego odpowiedzialności i w konsekwencji na zastosowanie sankcji karnych, gdyby – prowadząc swą działalność – naruszył przepisy o ochronie danych osobowych

Temat: ABI musi zostać wyznaczony w spółkach z o.o., akcyjnych, etc

Baaaardzo potrzebny wyrok, choć nieprawomocny. Już nie wiedziałem w jaki sposób uzasadniać tą tezę, a tu proszę, WSA przyszedł z pomocą ;-)Paweł Litwiński edytował(a) ten post dnia 27.09.12 o godzinie 18:48

Temat: ABI musi zostać wyznaczony w spółkach z o.o., akcyjnych, etc

Wyrok jak najbardziej potrzebny choć jego sentencja zasiała we mnie ziarna wątpliwości.

Obecnie osobami odpowiedzialnymi w sensie prawnym za naruszenie uodo jest Zarząd firmy. Natomiast fragment sentencji wyroku mówi:
Jedynie bowiem w przypadku administratorów danych, będących osobami fizycznymi, którzy samodzielnie (osobiście) administrują proces przetwarzania danych, ustawa nie nakłada obowiązku wyznaczenia administratora bezpieczeństwa informacji, gdyż tylko w takiej sytuacji administrator danych jednocześnie dzierży uprawnienia i obowiązki administratora bezpieczeństwa informacji, co pozwala na ustalenie jego odpowiedzialności i w konsekwencji na zastosowanie sankcji karnych, gdyby – prowadząc swą działalność – naruszył przepisy o ochronie danych osobowych

Czyli kto odpowiada w przypadku naruszenia uodo przez Spółkę - Zarząd czy ABI. Jeżeli ABI działa na zlecenie ADO to ok. Można go pociągnąć do odpowiedzialności. Ale jeżeli ABI jest pracownikiem ADO to naruszenie uodo może wynikać z wykonania polecenia ADO, a odmowa wykonania polecenia przełożonego lub zażądanie wydania go w formie pisemnej może się dla ABI skończyć utratą pracy.

Ponadto sama interpretacja GIODO jest dla mnie niezrozumiała.

Zdaniem GIODO, wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji możliwe jest jedynie wówczas, gdy administrator danych jest osobą fizyczną. Jednak w przedmiotowej sprawie tak nie jest, gdyż G. nie jest osobą fizyczną.

W końcu ustawa mówi jasno, że ADO może sam wykonywać obowiązki ABI i nie zawiera absolutnie żadnych kryteriów kiedy ABI musi być powołany. Również GIODO nie podało poza wskazaniem że ADO nie jest osobą fizyczną żadnych merytorycznych przyczyn decyzji. W sumie wszystko wygląda na "widzi mi się" urzędnika

Co mają zrobić małe firmy spółki (a takich jest naprawdę wiele). Zatrudnić dodatkową osobę by pełniła funkcję ABI, zlecić to firmie zewnętrznej. Jedno i drugie rozwiązanie powiększa koszty co w efekcie może prowadzić do upadku firmy.

Na koniec. W sentencji Sąd przeczy samemu sobie. Z jednej strony potwierdza słuszność decyzji GIODO o konieczności powołania ABI-ego a kilka linijek poniżej stwierdza:

Skoro bowiem ustawa o ochronie danych osobowych wskazuje w art. 7 pkt 4, że administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych, to nie powinno budzić wątpliwości, że w każdej sytuacji, w której struktura organizacyjna administratora danych jest wieloosobowa, powinien on w ramach tej struktury wyznaczyć osobę fizyczną odpowiedzialną za wykonywanie czynności nadzorczych, powierzając jej obowiązki administratora bezpieczeństwa informacji, i to niezależnie od tego, czy administrator danych jest organem, jednostką organizacyjną, podmiotem czy osobą prawną.

Panowie Sędziowie. Podobno Arabowie maja 500 słów na określenie pustyni. Ale w języku polskim "musi" nie jest równoważne "powinien". Pierwsze oznacza bezwzględna konieczność. W drugim również konieczność ale już względną. Czyli ostatecznie musi czy nie musi. Bo z sentencji wynika że powinien czyli może ale nie musi.

Na koniec. Rozumiem, że jest lobbing by ABI-m mógł być podmiot w pewnym sensie na wzór rozwiązań niemieckich. Ale teoria i życzenia to jedno a praktyka i życie to drugie. I nie jestem pewien czy oprócz ewidentnie korzystnych rozstrzygnięć nie przyniesie to jednak więcej szkody.

Temat: ABI musi zostać wyznaczony w spółkach z o.o., akcyjnych, etc

Nie wolno mi komentowac tego wyroku. Dodam wiec tylko dla porządku, że M., w którym siedzibę spółka G. znajduje się poza teranem UE w kraju nie mającym decyzji o adekwatnosci :)

WW

Temat: ABI musi zostać wyznaczony w spółkach z o.o., akcyjnych, etc

Panie Wojciechu,

Przepraszam ale nie wiedziałem o tym i nie było tego w sentencji.

Jeżeli jest taka sytuacja to przyznaję, że GIODO miało jak najbardziej merytoryczne podstawy do wydania takiej decyzji. I samą decyzję uważam za jak najbardziej słuszną. Również w takim przypadku prawidłowa była interpretacja Sądu w kwestii odpowiedzialności. Jednak jest napisana zbyt ogólnikowo co może w tym przypadku zaszkodzić a nie pomóc.

Niestety uwagi o niekonsekwencji Sądu w sensie decyzyjnym "musi" czy "powinien" pozostawiam.

Tak przy okazji. Rozumiem, że przepisy muszą być formułowane na pewnym poziomie ogólności ale jak pokazuje ten przykład mimo wszystko wymaga pewnej szczegółowości. Jeżeli z powodów różnych nie można zrobić tego na poziomie ustawy to może da się to zrobić na poziomie przepisów wykonawczych. Tym bardziej, że ustawa funkcjonuje już dość długo, a życie czy nawet decyzje GIODO przynoszą coraz więcej przykładów spraw które tego wymagają.

Temat: ABI musi zostać wyznaczony w spółkach z o.o., akcyjnych, etc

Moim zdaniem nie do końca brak tu konsekwencji. Z rozstrzygnięcia wynika, że wyznaczenie ABI jest konieczne wtedy, gdy brak jest jednoznacznego przypisania odpowiedzialności za nadzór nad przetwarzaniem danych osobowych wtedy też ADO musi wyznaczyć ABI. Jeśli jednak ze struktury organizacyjnej wynika, że np. członek zarządu odpowiada za szeroko pojęte bezpieczeństwo informacji (w tym dane osobowe) to nie musi on (ze względu na zakres przypisanej odpowiedzialności) wyznaczyć ABI ponieważ sam jako reprezentant administratora danych pełni jego obowiązki. Zgadzam się natomiast, że brak tu jednoznacznej interpretacji. Innymi słowy lepiej wyznaczyć ABI niż go nie wyznaczać :-)