Czy trzeba powoływać ABI?

ABI, kluczeABI, czyli administrator bezpieczeństwa informacji, o którym mowa w ustawie o ochronie danych osobowych. Tytułowe pytanie stawiają sobie często członkowie zarządów i pracownicy spółek, fundacji i innych osób prawnych. Czy więc trzeba powoływać tego ABI, jeśli w spółce przetwarza się dane osobowe?

Jeszcze jakiś czas temu na takie pytanie odpowiedź byłaby łatwa i stanowcza: tak, trzeba. Upraszczając należałoby stwierdzić, że każda osoba prawna ma obowiązek powołać administratora bezpieczeństwa informacji, jeżeli w swojej działalności posługuje się zbiorami danych osobowych. Ustawa wprost wskazywała, że administrator danych osobowych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych, chyba że sam wykonuje te czynności. Swoistą walkę o ABI prowadził w Polsce m.in. Google. Z tą swoją walką doszedł aż do Naczelnego Sądu Administracyjnego w Warszawie, gdzie decydującą bitwę (skoro już trzymamy się tej terminologii ;)) przegrał. NSA wydał dnia 21 lutego 2014 r. wyrok (I OSK 2445/12), w którym stwierdził, że z pełnej regulacji przyjętej w kodeksie cywilnym wynika, że obowiązującą reguła jest, że osoby prawne i jednostki organizacyjne niemające osobowości prawnej działają przez swoje organy, jeżeli innych reguł nie przyjmuje ustawa szczególna. Taką regulacją szczególną jest art. 36 ust. 3 ustawy o ochronie danych osobowych, z którego wynika, że jeżeli administratorem danych jest jednostka organizacyjna mająca osobowość prawną, jak i niemająca osobowości prawnej, obowiązana jest wyznaczyć administratora bezpieczeństwa informacji.

 

Art. 36. 3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

 

ustawa o ochronie danych osobowychCzyli NSA powiedział tak – jesteś osobą spółką, fundacją, stowarzyszeniem? Powołujesz ABI. Koniec i kropka. Sprawę skomplikowała (czy też uprościła, zależy jak na to spojrzeć) ustawa o ułatwieniu wykonywania działalności gospodarczej. Zmieniła ona m.in. przywołany art. 36 ustawy o ochronie danych osobowych poprzez usunięcie cytowanego ustępu trzeciego, a dodała inny artykuł, który brzmi tak:

 

Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa informacji.

 

Mowa już więc wyłącznie o możliwości powoływania ABI, nie o obowiązku w takich czy innych okolicznościach. Wszystko więc jasne, tak? Nie do końca. Trzeba bowiem zwrócić uwagę, że wszystkie argumenty, które przemawiały za tym, że w poprzednim stanie prawnym ABI musiał być powoływany przez administratorów danych niebędących osobami fizycznymi, nadal są aktualne. P. Bata oraz P. Litwiński w opracowaniu „Ustawa o ochronie danych osobowych. Komentarz” (Warszawa 2013, s. 356) piszą: Jednocześnie wydaje się, że ze względu na konstrukcję osób prawnych administrator danych osobowych będący osobą prawną ze swej istoty nie może korzystać z komentowanej instytucji i samodzielnie wykonywać obowiązków administratora bezpieczeństwa informacji. Podkreślić należy, że administrator danych osobowych, który nie wyznaczył administratora bezpieczeństwa informacji, nie może twierdzić, iż z mocy prawa wykonuje w takim przypadku obowiązki ABI samodzielnie.

 

keyboard-628703_1280Na „chłopski rozum” można to zobrazować w ten sposób, że trudno sobie wyobrazić, żeby taka spółka z ograniczoną odpowiedzialnością wzięła w swoje ręce dane osobowe i o nie odpowiednio dbała. Dlaczego? No bo tych rąk po prostu nie ma. Mają je członkowie zarządu, mają je pracownicy. Czy to więc nie oni powinni wykonywać obowiązki ABI? Raczej tak. Pogląd taki jest w zasadzie dość jednolity w doktrynie:

 

Mimo, że ustawa o.d.o. nie stanowi o tym wyraźnie, to należy przyjąć, że ABI powinien być osobą fizyczną, a w konsekwencji administrator danych może przejąć jego obowiązki tylko wtedy, gdy jest osobą fizyczną – A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2006, s. 259

 

Zmiana przepisów w żaden sposób nie zdezaktualizowała argumentów od lat powtarzanych w nauce prawa ochrony danych osobowych. Czy więc należy stwierdzić, że nic się nie zmieniło? Fundacjo, powołuj ABI? Niekoniecznie. Pod uwagę trzeba wziąć nie tylko językowe znaczenie nowelizacji (przede wszystkim to sformułowanie „może powołać”), ale także wykładnię celowościową. Ustawa o ułatwieniu wykonywania działalności gospodarczej miała, w zamierzeniu nowelizatorów, uprościć wykonywanie tej działalności. Zmieniono nią szereg innych ustaw, takich jak choćby Kodeks pracy, Prawo ochrony środowiska czy Prawo celne. Większość zmian dąży do upraszczania szeregu procedur i częściowego odformalizowania różnych postępowań (czy robi to skutecznie to inna sprawa). Czy więc nowelizacja nie miała na celu umożliwienia osobom prawnym i innym jednostkom organizacyjnym samodzielnego przetwarzania danych osobowych i ich zabezpieczenia bez powoływania ABI? Czy nie wystarczy im pamiętać o rejestracji zbiorów danych osobowych? Wydaje się, że wystarczy. Stanowisko takie przedstawił również Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na zapytanie z dnia 18 lutego 2015 r. na pytanie redakcji Gazety Podatkowej.

 

Nie ma obowiązku powoływania w firmach czy instytucjach administratorów bezpieczeństwa informacji (ABI), odpowiedzialnych za przestrzeganie przepisów o ochronie danych osobowych. Powołanie ABI jest prawem, ale nie obowiązkiem każdego administratora danych. – GIODO wg Gazety Podatkowej nr 18 (1163) z dnia 2.03.2015

 

Nie jest to co prawda oficjalne stanowisko, ale jest ono zbieżne z zamiarami jakie przyświecały nowelizacji ustawy o ochronie danych osobowych. Powoływać ABI czy nie powoływać ABI? Oto jest pytanie. Nie trzeba tego robić. Ale czy nie warto? To inna kwestia. ABI to nie tylko obowiązki, ale też uproszczenia w procesie ochrony danych osobowych. Więcej o tym w innym wpisie.
Chcesz być na bieżąco? Polub bloga na Facebook’u, obserwuj go na Twitterze lub zapisz się na newslettera (wszystko to możesz zrobić także w kolumnie po prawej stronie).

 


 

Jeden komentarz

Odpowiedz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *