Osoba prawna jako ADO, a niewyznaczenie ABI.

Ustawa z dnia 29 sierpnia 1997 roku w brzmieniu obowiązującym od dnia 1 stycznia 2015 roku nie wymaga powołania administratora bezpieczeństwa informacji. Do dnia 31 grudnia 2014 roku przyjmowano, że administrator danych musi powołać administratora bezpieczeństwa informacji zawsze, gdy nie jest osobą fizyczną.

Obecnie, zgodnie z treścią art. 36 a ust. 1 ustawy administrator danych może powołać administratora bezpieczeństwa informacji. Natomiast, zgodnie z art. 36 b ustawy w przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.

Powstaje jednak pytanie, w jaki sposób administrator danych będący osobą prawną będzie wykonywał obowiązki administratora bezpieczeństwa informacji w sytuacji, gdy zrezygnuje z jego powołania.

W takiej sytuacji administrator danych będzie wykonywał obowiązki zgodnie z zasadami reprezentacji osoby prawnej, co w przypadku zarządu wieloosobowego może nastręczać kłopotów organizacyjnych. Wydaje się, że celowym okazać się może dokonanie wewnętrznego podziału zadań i przydzielenie zadań administratora bezpieczeństwa informacji jednemu z członków zarządu. Wymagać to będzie jednak stosownych regulacji wewnątrzorganizacyjnych.

Oznacza to, że w sytuacji, gdy administratorem danych jest osoba prawna, która nie zdecydowała się na powołanie administratora bezpieczeństwa informacji volens nolens będzie ona musiała wskazać osoby wykonujące jego zdania. W takim przypadku, warto rozważyć premie wynikające z powołania i zarejestrowania administratora bezpieczeństwa informacji w postaci zwolnienia z obowiązku zgłaszania zbiorów do rejestracji oraz możliwości prowadzenia kontroli wewnętrznej.

Tomasz Cygan

2 Comments

  1. Alicja

    Panie Tomaszu,
    Pracuję w firmie handlowej, w sektorze b2b. Zatrudniamy trochę ponad 20 osób, mamy dość dużą bazę klientów, w której przechowujemy dane (telefony, adresy, e-maile) głównie „służbowe”, ale nie można wykluczyć, że znajdują się wśród nich dane osobowe.
    Takim przypadkiem mogą być jednoosobowe firmy, gdzie właściciel podaje nam (na potrzeby ofertowania i procesu realizacji zamówienia) adres wysyłki towaru (będący równocześnie adresem zamieszkania), adres e-mail (prowadzony w ogólnodostępnej domenie typu @op.pl lub @wp.pl) numer telefonu (będący jego jedynym, a więc również prywatnym). Zakładamy bezpiecznie, że są to dane osobowe, podlegające ochronie.
    Drugim przypadkiem mogą być dane kontaktowe osób, które pozyskujemy np. podczas targów i które wykorzystujemy następnie w celach marketingowych. Nie mamy też tutaj pewności, czy podawane adresy e-mail lub numery telefonów nie są danymi osobowymi, więc zakładamy również, że mogą być.
    I teraz do rzeczy: takich danych wśród wszystkich kontaktów jakie przechowujemy i wykorzystujemy jest niewiele, nie widzimy więc zasadności powoływania ABI. Trudno byłoby wyłonić spośród pracowników osobę, która mogła by nim być, bo trzeba by „wyjąć” ją ze struktury organizacyjnej. Nie chcemy też zatrudniać dodatkowej osoby, ani zlecać obowiązków ABI zewnętrznym podmiotom.
    Wymyśliliśmy zatem takie rozwiązanie: powołujemy Specjalistę ds Ochrony Danych Osobowych, który niejako pełni obowiązki ABI. Niejako – ponieważ każde jego działanie jest przedstawiane ADO w osobie prezesa zarządu i wszelkie decyzje i odpowiedzialności ponosi ADO (prezes).
    Czy Pana zdaniem takie rozwiązanie jest dopuszczalne?
    Alicja

    Reply
    1. Michał (Post author)

      Tak, jest to dopuszczalne. Wskazane rozwiązanie to nic innego jak przyjęcie modelu bez ABI, czyli bez wszystkich „plusów i minusów” wprowadzonych nowelizacją z 2015 roku. Art. 36 a ustawy wskazuje, że ADO może wyznaczyć ABI, więc ABI nie jest funkcją obowiązkową.

      Dodatkowo jednak proszę zapoznać się z wpisem- Spółka jako ADO.

      Reply

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

fifteen − 6 =