Musi być nadzór nad zdjęciami

Naczelny Sąd Administracyjny oddalił skargę kasacyjną amerykańskiej spółki Google Inc.,właściciela internetowej wyszukiwarki Google?.

Wirtualne podróże

Mapy Google z funkcją Street View, zawierające panoramiczne zdjęcia, umożliwiają wirtualne podróże po świecie. Od 2012 r. można tak spacerować również po ulicach polskich miast. W internetowej informacji o ochronie prywatności i anonimowości spółka zapewnia, że zdjęcia pokazują widoki miejsc publicznych. Twarze osób i tablice rejestracyjne pojazdów są zamazywane, tak że ich rozpoznanie jest niemożliwe. Wolno też zażądać zamazania całego pojazdu, osoby czy domu. Podobne zasady dotyczą zdjęć internautów.

Mimo to podczas kontroli – która w całości przyniosła pozytywne wyniki – generalny inspektor ochrony danych osobowych stwierdził, że Google Inc., jako administrator danych, nie wyznaczyła administratora bezpieczeństwa informacji, jak tego wymaga art. 36 ust. 3 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem, administrator danych, którym jest w tym wypadku spółka, wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych osobowych.

GIODO nakazał więc spółce, by w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna, wyznaczyła administratora bezpieczeństwa informacji.

Pod okiem administratora

Wojewódzki Sąd Administracyjny w Warszawie (sygn. akt I OSK 2445/12) zaakceptował stanowisko GIODO i oddalił skargę Google. Spółka zaskarżyła wyrok do NSA. Jej pełnomocnicy, adwokaci Ksawery Konarski i Grzegorz Sibiga, przekonywali podczas rozprawy, że sąd I instancji błędnie zinterpretował art. 36 ust. 3 ustawy o ochronie danych osobowych.

– Istotą sprawy jest ustalenie, czy przepis ten nakłada na administratora danych, którym jest firma Google Inc., obowiązek wyznaczenia administratora bezpieczeństwa informacji – mówili. Zdaniem spółki, nie.

Przetwarzanie danych polega na sfilmowaniu ulic, przesłaniu zdjęć za granicę i usunięciu cech identyfikacyjnych. Nadzór nad ich bezpieczeństwem może więc sprawować, wprowadzając odpowiednie procedury organi-?zacyjne, sama firma, jako administrator danych osobowych. Dyrektywa unijna daje prawodawcom krajowym swobodę w wyznaczaniu administratora bezpieczeństwa informacji.

– Skoro prawo unijne dopuszcza inny sposób uregulowania tej kwestii przez ustawodawstwo krajowe, tak się stało – wprowadzono obowiązek wyznaczania administratora bezpieczeństwa informacji – odpowiadał radca prawny Piotr Wójcik, pełnomocnik GIODO.

NSA, tak jak WSA i GIODO, potwierdził, że jeśli struktura organizacyjna administratora danych jest wieloosobowa, powinien w jej obrębie wyznaczyć osobę fizyczną odpowiedzialną za nadzór nad bezpieczeństwem informacji. – Tej funkcji nie może pełnić anonimowy pracownik czy pracownicy firmy – wskazała sędzia Barbara Adamiak.

Stanowisko NSA jest jednoznaczne: gdy administratorem danych jest organ, podmiot czy osoba prawna, musi być wyznaczony konkretny administrator bezpieczeństwa informacji.

Google przegrał w Polsce