Spółki nie muszą powoływać ABI

W 2015 r., ze strony wielu firm świadczących usługi ABI (administrator bezpieczeństwa informacji) pojawiały się komunikaty, że w związku ze zmianą ustawy o ochronie danych osobowych, do 30 czerwca 2015 r. każdy administrator danych osobowych (ADO), zobowiązany był do powołania ABI. Tego rodzaju informacje nie były prawdziwe i miały na celu naciągnięcie zdezorientowanych administratorów danych osobowych na skorzystanie z usług tych firm. Po nowelizacji ustawy o ochronie danych osobowych, rzeczywistość była (i nadal jest) zupełnie inna – wymóg powołania administratora bezpieczeństwa informacji nie tylko nie został wprowadzony, ale wręcz całkowicie zniesiony. Po ponad roku, sprawa wywołuje dużo mniej kontrowersji. Aby lepiej pokazać dlaczego spółki nie muszą powoływać ABI, odniosę się jednak także do poglądów, zgodnie z którymi powoływanie ABI przez spółki było obowiązkowe. Takich głosów rok temu pojawiało się całkiem sporo.

Nadinterpretacja przepisów ustawy

Jako uzasadnienie obowiązku powołania administratora bezpieczeństwa informacji, często stosowano następujący tok rozumowania:

1. Zadania ABI obejmują takie czynności jak np. sprawdzanie zgodności przetwarzania danych z prawem, opracowywanie sprawozdań dla ADO czy zapewnienie zapoznania się osób upoważnionych do przetwarzania danych osobowych z przepisami.
2. Powyższe czynności mogą być wykonywane tylko przez osobę fizyczną. Jednostka organizacyjna (np. spółka) nie może podjąć takich działań.
3. Art. 36b ustawy o ochronie danych osobowych stanowi, że w przypadku niepowołania ABI, jego zadania wykonuje administrator danych.
4. Skoro zadania ABI mogą być wykonywane jedynie przez osobę fizyczną, a w przypadku niepowołania ABI jego zadania wykonuje sam administrator danych, to jeżeli administratorem danych jest jednostka organizacyjna (np. spółka), nie będzie mogła wykonywać zadań ABI.
5. A skoro jednostka organizacyjna, będąca administratorem danych, nie może wykonywać zadań ABI, to powinna powołać ABI.

Finalnym wnioskiem powyższego rozumowania, było uznanie, że ustawa o ochronie danych osobowych zobowiązuje administratorów danych osobowych, którzy nie są osobami fizycznymi, do powołania ABI. W mojej ocenie jest to duża nadinterpretacja. Zanim jednak wyjaśnię dlaczego, zobaczmy jaki jest główny argument przytaczany przez zwolenników takiej interpretacji.

Google vs. GIODO

Jako potwierdzenie wskazanego powyżej toku rozumowania, autorzy artykułów i postów na forach internetowych, wskazywali wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 lipca 2015 r. (sygn. II SA 630/12). Sprawa ta zaczęła się od decyzji Generalnego Inspektora Ochrony Danych Osobowych (GIODO), który nakazał Google usunięcie uchybienia w procesie przetwarzania danych osobowych, poprzez wyznaczenie administratora bezpieczeństwa informacji. W ocenie GIODO wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji możliwe było jedynie wówczas, gdy administrator danych był osobą fizyczną. Google oczywiście nie jest osobą fizyczną, tylko spółką i dlatego – w ocenie GIODO – powinno wyznaczyć ABI. Google nie zgodziło się z taką decyzją i ostatecznie sprawa trafiła do sądu, który przyznał rację GIODO. Czym kierował się sąd? To już nie jest istotne (poniżej wyjaśniam dlaczego). Na potrzeby niniejszego artykułu wskażę jedynie, że zastosował wykładnię celowościową1 i wyszło mu, że ADO będący jednostką organizacyjną, organem lub osobą prawną, musi zawsze powołać ABI. A jako potwierdzenie sąd wskazał na przepisy karne w ustawie o ochronie danych osobowych ustanawiające przestępstwa indywidualne, które mogą być popełnione jedynie przez osobę fizyczną.

Na początku 2014 r. Naczelny Sąd Administracyjny oddalił złożoną przez Google skargę na powyższe orzeczenie.

Zgodziłbym się z argumentacją sądów, gdyby nie to, że od 1 stycznia 2015 r. zmieniły się przepisy, a powyższe orzeczenia dotyczą poprzedniego brzmienia przepisu o powołaniu ABI.

Zmiana ustawy o ochronie danych osobowych

O zmianach w przepisach dotyczących funkcji administratora bezpieczeństwa informacji, które weszły w życie 1 stycznia 2015 r., napisałem szerzej w artykule pt. „ABI, czyli Administrator Bezpieczeństwa Informacji”. Teraz chciałbym przeanalizować tylko jedną z nich:

Art. 36 ust. 3 ustawy o ochronie danych osobowych – stan przed 1 stycznia 2015 r.:

Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

Art. 36a ust. 1 ustawy o ochronie danych osobowych – stan po 1 stycznia 2015 r.:

Administrator danych może powołać administratora bezpieczeństwa informacji.

Było „wyznacza”, jest „może wyznaczyć”. Był obowiązek (z którego administrator danych osobowych mógł się zwolnić, jeżeli sam wykonywał czynności ABI), jest uprawnienie. W obecnym stanie prawnym jest przepis, który wprost wskazuje, że powołanie ABI jest uprawnieniem administratora danych osobowych. I to bez względu na to czy ADO jest osobą fizyczną, prawną, czy jeszcze inną jednostką organizacyjną. Art. 36a ust. 1 ustawy o ochronie danych osobowych odnosi się do wszystkich administratorów danych. Każdy ADO może, ale nie musi, powołać ABI. Ta jedna zmiana sprawiła, że wskazany powyżej wyrok stał się nieaktualny i nie powinien być przytaczany jako uzasadnienie poglądu, że administrator danych osobowych będący jednostką organizacyjną musi wyznaczyć administratora bezpieczeństwa informacji.

Obecnie sprawa nie budzi już kontrowersji

Z  upływem czasu, głosy twierdzące, że ADO niebędący osobami fizycznymi, są prawnie zobligowani do powołania ABI, coraz bardziej cichły. Obecnie nie ma w tym zakresie większych wątpliwości – wykształciło się jednolite stanowisko, które jest aprobowane przez większość osób. Na takim stanowisko stoi także Generalny Inspektor Ochrony Danych osobowych, który na swojej stronie internetowej w jasny sposób wyraził, że powołanie administratora bezpieczeństwa informacji jest uprawnieniem a nie obowiązkiem administratora danych osobowych (http://www.giodo.gov.pl/1520223/id_art/8344/j/pl/).