ABI – czy trzeba go upoważnić do przetwarzania danych

Autor: Jan Tyski

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby, które mają upoważnienie nadane przez administratora. W praktyce pojawiają się wątpliwości, czy tego rodzaju upoważnienie powinna mieć każda osoba dopuszczona do przetwarzania danych, czy też niektóre z osób piastujących określone stanowisko są zwolnione z obowiązku jego posiadania. Dyskusje wywołuje w szczególności to, czy ABI w zakresie sprawowania swojej funkcji również powinien mieć tego rodzaju upoważnienie oraz kto takie upoważnienie powinien mu wydać.

Bazując na koncepcji ustawowego upoważnienia, pojawiają się opinie, że ABI w zakresie pełnienia swojej funkcji jest upoważniony do przetwarzania danych na podstawie samej ustawy o ochronie danych osobowych (tj. art. 36a ust. 2 uodo – określający jego zadania) i w związku z tym nadawanie mu upoważnienia, uznać należy za zbyteczne. W takim przypadku nie powinien on być również uwzględniany w ewidencji osób upoważnionych prowadzonej zgodnie z art. 39 uodo.

Koncepcja ustawowego upoważnienia jest w praktyce przyjmowana w niektórych podmiotach (szczególnie z sektora publicznego). Jej zwolennicy uznają, że jeżeli ustawa przyznaje konkretne kompetencje sprecyzowanej kategorii osób, osobie pełniącej daną funkcję czy też organowi, to nadawanie upoważnień w trybie art. 37 uodo i uwzględnianie tych osób w ewidencji upoważnień zgodnie z art. 39 uodo jest zbędne.

Przyjęcie koncepcji ustawowego upoważnienia, jest dla ADO znacznie bardziej ryzykowne i może znacząco utrudniać mu kontrolę nad administrowanymi przez niego danymi. Po pierwsze, nadając upoważnienia wszystkim osobom, które mają dostęp do przetwarzanych danych w trybie przewidzianym przez uodo, ADO ma rzeczywistą kontrolę i wiedzę o tym, kto i do jakiego zakresu danych ma dostęp.

Po drugie, upoważnienie jest w praktyce najczęściej podstawą do nadania uprawnienia do przetwarzania danych w systemie informatycznym. Przyjmując koncepcję ustawowego upoważnienia, i tak konieczne byłoby wskazywanie we wniosku o nadanie uprawnienia do przetwarzania danych w systemie informatycznym podstawy prawnej (konkretnych przepisów ustawy) upoważniających do przetwarzania danych w ramach danego systemu informatycznego. Po trzecie, nie ma jasnej wykładni, jak powinny wyglądać i jak precyzyjne powinny być przepisy ustawowe, aby były właściwym ustawowym upoważnieniem do przetwarzania danych, wyłączając jednocześnie stosowanie art. 37 i 39 uodo.

Mając na uwadze powyższe rozważania oraz uwzględniając, że kwestia ustawowego upoważnienia nie jest precyzyjnie rozwinięta w przepisach ani w orzecznictwie, przyjęcie koncepcji, że administrator bezpieczeństwa informacji nie musi mieć wydanego przez ADO w trybie art. 37 uodo upoważnienia, a zatem nie trzeba go odnotowywać w ewidencji osób upoważnionych do przetwarzania danych, jest dla administratora danych znacznie bardziej ryzykowne. ADO powinien bowiem pamiętać, że umożliwienie dostępu do danych osobie nieupoważnionej wypełnia znamiona czynu zabronionego wskazanego w art. 51 uodo.

Administrator danych powinien dopełnić wymogu upoważnienia administratora bezpieczeństwa informacji w trybie przewidzianym w ustawie o ochronie danych osobowych. W praktyce często to ABI jest osobą, która z upoważnienia ADO nadaje upoważnienia do przetwarzania danych. Pamiętać jednak należy, że w zakresie tym zawsze działa na mocy upoważnienia do dokonywania tego rodzaju czynności. Kompetencji do wydawania upoważnień administrator danych nie może się wyzbyć i to on powinien w tym przypadku nadać ABI upoważnienie do przetwarzania danych. W związku z wykonywaniem przez administratora bezpieczeństwa informacji obowiązków określonych w art. 36a ust. 2 ustawy o ochronie danych osobowych zakres danych, do których powinien być upoważniony, musi być bardzo szeroki.

Jan Tyski