Czy po wyznaczeniu administratora bezpieczeństwa informacji administrator danych osobowych nadal może zostać pociągnięty do odpowiedzialności za ewentualne naruszenie przepisów związanych z ochroną danych osobowych?
Jeśli tak, to w jakich przypadkach?
Jakie obowiązki związane z ochroną danych osobowych nadal ciążą na administratorze danych osobowych pomimo wyznaczenia administratora bezpieczeństwa informacji?
Czy możliwe jest jednoczesne wyznaczenie administratora bezpieczeństwa informacji oraz powierzenie przetwarzania danych osobowych osobie trzeciej na podstawie art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - dalej u.o.d.o.?
Jeśli tak, to czy w takiej sytuacji pozostają jeszcze jakieś obowiązki związane z ochroną danych osobowych ciążące bezpośrednio na administratorze danych osobowych oraz czy administrator danych osobowych może zostać pociągnięty do odpowiedzialności za ewentualne naruszenia przepisów związanych z ochroną danych osobowych, a jeśli tak, to w jakich przypadkach?
Odpowiedź
Administrator danych osobowych to organ, jednostka organizacyjna, podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 u.o.d.o.); podmiot samodzielnie podejmujący decyzje odnośnie przetwarzanych danych osobowych. Żaden z przepisów u.o.d.o. nie zawiera pełnego katalogu obowiązków ciążących na administratorze danych osobowych. Katalog taki zbudować można na podstawie analizy całej u.o.d.o., w której poszczególne przepisy określają konkretne obowiązki i zadania administratora.
Na podstawie u.o.d.o. wyodrębnić można następujące grupy obowiązków administratora danych osobowych:
- obowiązki związane z zabezpieczeniem danych osobowych (art. 36 u.o.d.o.);
- obowiązek prowadzenia dokumentacji (art. 36 ust. 2 u.o.d.o.) opisującej sposób przetwarzania danych oraz środki ochrony danych stosowane u administratora (w szczególności chodzi tu o politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym);
- obowiązki związane z przetwarzaniem danych osobowych (art. 23, 26, 27 i 37 u.o.d.o.);
- obowiązki informacyjne (art. 24 i 25 u.o.d.o.);
- obowiązek rejestracji zbiorów danych osobowych (rozdział 6 u.o.d.o.);
- obowiązek kontroli nad danymi (art. 38 u.o.d.o.).
Zapraszamy na szkolenie "Ochrona danych osobowych w oświacie" - 14 września 2015 r. w Warszawie>>
Każda grupa obowiązków składa się z szeregu szczegółowych obowiązków polegających na wykonaniu konkretnych czynności czy podjęciu konkretnych działań.
Podkreślić trzeba, iż na administratorze danych spoczywa odpowiedzialność za przetwarzanie danych osobowych zgodnie z przepisami u.o.d.o., bez względu na to, kto faktycznie administruje tymi danymi i kto je przetwarza.
Nie ma przeszkód, by administrator danych powołał administratora bezpieczeństwa informacji (ABI) i jednocześnie zawarł z innym podmiotem umowę w zakresie powierzenia przetwarzania danych osobowych.
U administratora danych osobowych może zostać powołany ABI, który odpowiada za nadzorowanie przestrzegania zasad ochrony danych osobowych u danego administratora danych. Zakres zadań ABI określony został w art. 36a ust. 2 u.o.d.o. ABI odpowiedzialny jest w zakresie prawidłowego wykonywania zadań przypisanych mu przepisami u.o.d.o. Oznacza to, że ABI, w zakresie przypisanych mu zadań, jest odpowiedzialny za prawidłowe przetwarzanie danych osobowych u danego administratora.
Podmiot, któremu administrator powierzył w drodze umowy przetwarzanie danych osobowych (zob. art. 31 u.o.d.o.), należy odróżnić od administratora danych.
Powierzenie innemu podmiotowi wykonywania działań na danych osobowych nie oznacza przeniesienia na ten podmiot funkcji administratora. Podmiot, któremu zostało powierzone przetwarzanie danych osobowych, wykonuje powierzone czynności tylko w zakresie i na warunkach określonych umową. Podmiot ten – w odróżnieniu od administratora danych – nie ma natomiast uprawnień do samodzielnego decydowania o celach i środkach przetwarzania danych osobowych.
Powołanie ABI nie jest obowiązkowe, ale może ułatwić pracę>>
Powierzenie przetwarzania danych innemu podmiotowi nie zdejmuje też z administratora odpowiedzialności za przestrzeganie przepisów u.o.d.o. Podmiot, któremu powierzono przetwarzanie danych, ponosi natomiast odpowiedzialność z tytułu przetwarzania danych osobowych niezgodnie z umową. Podkreślić jednak trzeba, iż w zakresie spraw dotyczących zabezpieczenia danych osobowych (art. 36-39 u.o.d.o.), w tym spełniania warunków określonych w rozporządzeniu wydanym na podstawie art. 39a u.o.d.o., podmiot, któremu powierzono przetwarzanie danych osobowych, ponosi odpowiedzialność jak administrator danych.
Podkreślić jednak należy, iż powołanie ABI, jak też powierzenie przetwarzania danych innemu podmiotowi na podstawie umowy, nie zwalnia administratora danych osobowych z odpowiedzialności za przetwarzane u niego dane osobowe.
Przede wszystkim należy wskazać należy na następujące rodzaje odpowiedzialności:
- karną – z tytułu popełnienia czynów określonych w art. 49-54a u.o.d.o. (zob. też art. 19 u.o.d.o.)
- administracyjną – art. 17 ust. 1 i art. 18 u.o.d.o.
- dyscyplinarną – art. 17 ust. 2 u.o.d.o.
- cywilną – z tytułu wyrządzenia szkody w wyniku niedopełnienia obowiązków związanych z przetwarzaniem danych osobowych oraz z tytułu naruszenia dóbr osobistych.
Jednocześnie dodać należy, że zarówno ABI, jak też osoby, którym zostało na mocy umowy powierzone przetwarzanie danych osobowych, również podlegają odpowiedzialności – jeśli swoim działaniem naruszyli przepisy u.o.d.o.
Należy jeszcze wskazać, iż na gruncie przepisów karnych u.o.d.o. ważne jest odróżnienie administratora danych od administrującego zbiorem danych, którym może być tylko określona osoba fizyczna (w odróżnieniu od administratora, którym może być również podmiot niebędący osobą fizyczną). Na rozróżnienie to wskazuje także Sąd Najwyższy w postanowieniu z dnia 11 grudnia 2000 r., II KKN 438/00, LEX nr 45466), w którym wyjaśnia: "Na gruncie ustawy o ochronie danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o celach i środkach przetwarzania tych danych (art. 7 pkt 4 ustawy), natomiast administrującym - także taki podmiot, który zarządza, zawiaduje zbiorem danych (...) w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy."
Kwalifikacje ABI: wykształcenie nie ma znaczenia>>
Dowiedz się więcej z książki | |
Ochrona danych osobowych w szkole i przedszkolu. Prawo oświatowe w pytaniach i odpowiedziach
|