Tak uważa generalny inspektor ochrony danych osobowych w przesłanej do „Rzeczpospolitej” interpretacji przepisów w sprawie administratorów bezpieczeństwa informacji (ABI).

W ocenie GIODO zagadnień tych wprost nie określa ustawa o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.). Dlatego w uzasadnieniu stanowiska urzędnicy powołują się na doktrynę. Andrzej Drozd w komentarzu („Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy”, Wydawnictwo Prawnicze LexisNexis 2005, str. 252 i nast.) podkreśla, że „mimo że ustawa o ochronie danych osobowych nie stanowi o tym wyraźnie, to należy przyjąć, że administrator bezpieczeństwa informacji powinien być osobą fizyczną, a w konsekwencji administrator danych może przejąć jego obowiązki tylko wtedy, gdy jest osobą fizyczną”.

GIODO tłumaczy, że zgodnie z art. 36 ust. 3 ustawy istotą funkcji administratora bezpieczeństwa informacji jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych, aby danym zapewnić ochronę. Wykonywanie nadzoru w tym zakresie wiąże się z koniecznością dostępu do danych osobowych, a zgodnie z art. 37 ustawy do ich przetwarzania mogą być dopuszczone wyłącznie osoby mające upoważnienie nadane przez administratora danych. – Niewątpliwie w tym przepisie chodzi o konkretne osoby fizyczne, które wymienione są w ewidencji osób upoważnionych do przetwarzania danych oraz które są zobowiązane zachować w tajemnicy dane i sposoby ich zabezpieczenia – czytamy w interpretacji GIODO.

Urzędnicy zastrzegają jednak, że ABI nie musi być osoba zatrudniona w firmie, czyli – zgodnie z nomenklaturą ustawy – u administratora danych. Może to więc być np. pracownik innej firmy, bo ustawa nie określa, w jakim stosunku prawnym taki administrator może wykonywać swoje obowiązki. Administrator danych powinien mieć jednak wpływ na wybór konkretnej osoby. Dlaczego? Bo to firma – zgodnie z art. 36 ust. 3 ustawy – a nie inny podmiot ma obowiązek wyznaczyć administratora bezpieczeństwa informacji, a ponadto powinien dołożyć szczególnej staranności, aby ta osoba dawała rękojmię prawidłowego wykonywania nadzoru nad przestrzeganiem zasad zabezpieczenia danych osobowych.

Co więcej administrator danych powinien wyznaczyć ABI w sposób gwarantujący ciągłość wykonywania przez niego obowiązków. Zdaniem GIODO nieprawidłowe byłoby np. zawarcie z przedsiębiorcą umowy o świadczenie usług w zakresie kontroli przestrzegania przepisów o zabezpieczeniu danych osobowych, jeśli umowa taka pozostawi przedsiębiorcy dowolność w wyznaczeniu osób pełniących obowiązki ABI u administratora danych.