Rzeczpospolita
Prawo
Reklama

Odpowiedź generalnego inspektora danych osobowych

Publikacja: 28.12.2010 08:04

rp.pl

[b]Czy administratorem bezpieczeństwa informacji może być inny podmiot niż osoba fizyczna?[/b]

W ocenie Generalnego Inspektora Ochrony Danych Osobowych nie jest to dopuszczalne.

Również w literaturze przedmiotu stwierdza się, że "mimo że ustawa o.d.o. nie stanowi o tym wyraźnie, to należy przyjąć, że ABI powinien być osobą fizyczną, a w konsekwencji administrator danych może przejąć jego obowiązki tylko wtedy, gdy jest osobą fizyczną" (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis 2005, str. 252 i nast.).

Zgodnie z art. 36 ust. 3 [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=7488C101F254F9FF25F7F7265829C5E9?id=166335]ustawy o ochronie danych osobowych[/link] istotą funkcji administratora bezpieczeństwa informacji jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych w celu zapewnienia danym bezpieczeństwa. Wykonywanie nadzoru w tym zakresie wiąże się z koniecznością dostępu do danych osobowych, a zgodnie z art. 37 ustawy o ochronie danych osobowych do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Niewątpliwie [b]w powołanym przepisie chodzi o konkretne osoby fizyczne, które wymienione są w ewidencji osób upoważnionych do przetwarzania danych oraz które są zobowiązane zachować w tajemnicy dane i sposoby ich zabezpieczenia.[/b]

Reklama
Reklama

Zastrzec przy tym należy, że administratorem bezpieczeństwa informacji nie musi być osoba zatrudniona u administratora danych, może to być np. pracownik innego podmiotu, gdyż ustawa nie określa w ramach jakiego stosunku prawnego ABI może wykonywać swoje obowiązki.

Jednakże - jak podkreśla A. Drozd we wspomnianym komentarzu - "administrator danych powinien mieć wpływ na wybór konkretnej osoby, ponieważ zgodnie z art. 36 ust. 3 to administrator danych, a nie inny podmiot ma obowiązek wyznaczyć ABI, a ponadto powinien dołożyć szczególnej staranności, aby wybrana osoba dawała rękojmie prawidłowego wykonywania obowiązków w zakresie nadzoru nad przestrzeganiem zasad zabezpieczenia danych osobowych. Administrator danych powinien wyznaczyć ABI w sposób gwarantujący ciągłość wykonywania przez niego obowiązków. Nieprawidłowe byłoby np. zawarcie z przedsiębiorcą umowy o świadczenie usług w zakresie kontroli przestrzegania przepisów dotyczących zabezpieczenia danych osobowych, jeżeli umowa ta pozostawiałaby temu przedsiębiorcy dowolność w zakresie wyznaczania osób pełniących obowiązki ABI u będącego jej stroną administratora danych."

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: GIODO

Dane Osobowe Interpretacje i Wyjaśnienia Urzędów
Ceny transakcyjne nieruchomości już jawne. Rejestr otwarty dla wszystkich
Nieruchomości
Ceny transakcyjne nieruchomości już jawne. Rejestr otwarty dla wszystkich
Jak osiągnąć sukces w sprzedaży online?
Materiał Promocyjny
Jak osiągnąć sukces w sprzedaży online?
Do zwiększenia obrotów silnika powinno dojść na skutek działania kierującego - podkreślił w uzasadni
Prawo drogowe
Sąd: odstawienie prawej nogi to błąd eliminujący kierowcę
Jakie choroby uprawniają do renty z ZUS?
Praca, Emerytury i renty
1978,49 zł renty z ZUS od 1 marca. Te choroby uprawniają do świadczenia
Nie wszyscy seniorzy dostaną 13. emeryturę. Świadczenie nie przysługuje kilku grupom emerytów
Praca, Emerytury i renty
13. emerytura nie dla każdego. Ci seniorzy nie otrzymają świadczenia
Presja dorastania i kryzys samooceny. Dlaczego nastolatki potrzebują realnego wsparcia
Materiał Promocyjny
Presja dorastania i kryzys samooceny. Dlaczego nastolatki potrzebują realnego wsparcia
Reklama
Reklama
e-Wydanie
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
Reklama
Reklama