Naczelny Sąd Administracyjny stwierdził w zeszłym tygodniu, że Google Inc. powinien wyznaczyć konkretną osobę jako administratora bezpieczeństwa informacji (ABI). I po wyroku rozgorzała dyskusja o rolę takich osób w firmie i ich odpowiedzialność za przetwarzane dane osobowe.
Ustawa o ochronie danych osobowych określa, że administrator danych, czyli np. firma bądź urząd, wyznacza ABI. Osoba taka ma nadzorować przestrzeganie zasad ochrony danych. Jeżeli np. przedsiębiorca sam wykonuje te czynności, to nie musi wskazywać jako ABI innej osoby. NSA podkreślił jednak, że funkcji tej nie może pełnić anonimowa osoba. Obowiązki te ma wykonywać konkretny człowiek.
Nie do końca wiadomo jednak, o co Google kruszył kopie z generalnym inspektorem danych osobowych i sądami administracyjnymi. Mógł bowiem, tak jak nakazał GIODO, wskazać jako ABI konkretną osobę i mieć sprawę załatwioną. Tym bardziej że ustawa nie stawia wyśrubowanych wymagań na takim stanowisku. Potwierdza to Paweł Litwiński z Barta Litwiński Kancelaria Radców Prawnych i Adwokatów.
– Polskie przepisy nie określają konkretnych obowiązków administratora bezpieczeństwa. W dodatku każdy może nim zostać. Prawo nie ustala żadnych kryteriów – mówi Litwiński.
Okazuje się, że to częściej rynek wyznacza zakres obowiązków na takim stanowisku. A może być on różny w zależności np. od wielkości przedsiębiorstwa czy instytucji bądź profilu działalności.
