Archiwalny

Czy ABI powinien mieć upoważnienie do przetwarzania danych osobowych

Wojciech Rudzki

Autor: Jan Tyski

Dodano: 19 lipca 2017
Dokument archiwalny
Czy ABI powinien mieć upoważnienie do przetwarzania danych osobowych
Pytanie:  W ramach wykonywania swoich obowiązków wynikających z ustawy o ochronie danych osobowych administrator bezpieczeństwa informacji ma dostęp do danych osobowych przetwarzanych u administratora danych. Czy w związku z tym powinien mieć nadane upoważnienie do przetwarzania danych osobowych?
Odpowiedź: 

Kwestia ustawowego upoważnienia do przetwarzania danych nie jest precyzyjnie rozwinięta w przepisach ani w orzecznictwie. Przyjęcie koncepcji, że administrator bezpieczeństwa informacji nie musi mieć wydanego przez ADO w trybie art. 37 uodo upoważnienia jest dla administratora danych znacznie bardziej ryzykowne. ADO powinien bowiem pamiętać, że umożliwienie dostępu do danych osobie nieupoważnionej wypełnia znamiona czynu zabronionego wskazanego w art. 51 uodo. Dlatego, jeśli ABI ma dostęp do danych osobowych, trzeba nadać mu stosowne upoważnienie.

Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby, które mają upoważnienie nadane przez administratora danych (art. 37 ustawy o ochronie danych osobowych). ADO prowadzi ewidencję osób upoważnionych do ich przetwarzania (art. 39 ust. 1 uodo). W praktyce pojawiają się wątpliwości, czy tego rodzaju upoważnienie powinna mieć każda osoba dopuszczona do przetwarzania danych, czy też niektóre z osób piastujących określone stanowisko są zwolnione z obowiązku jego posiadania. Na tym tle dyskusje wywołuje w szczególności to, czy administrator bezpieczeństwa informacji w zakresie sprawowania swojej funkcji również powinien mieć tego rodzaju upoważnienie oraz kto ewentualnie takie upoważnienie powinien mu wydać. W tym kontekście można zaprezentować dwa podejścia.

Jeśli dostęp do danych osobowych wynika z ustawowych obowiązków, nie trzeba mieć upoważnienia?

Zwolennicy podejścia, zgodnie z którym nie trzeba upoważniać niektórych osób w trybie art. 37 uodo i ewidencjonować tych upoważnień zgodnie z art. 39 uodo, często powołują się na wyrok Naczelnego Sądu Administracyjnego (NSA) z 21 grudnia 2006 r. (sygn. akt. I OSK 1279/05). W sprawie, którą rozpatrywał NSA, prokurator złożył skargę do sądu administracyjnego na decyzję Generalnego Inspektora Ochrony Danych Osobowych nakazującą m.in. uwzględnienie prokuratorów w ewidencji osób upoważnionych do przetwarzania danych. W sprawie tej sądy administracyjne nie podzieliły jednak poglądu GIODO.

NSA w uzasadnieniu wskazał, że do „podejmowania tych (tj. m.in. prowadzenia postępowania przygotowawczego – art. 298 i nast. Kodeksu postępowania karnego,  występowania w postępowaniu karnym jako oskarżyciel – art. 45 § 1 i nast. kpk – przyp. autora) czynności zarówno w sferze ścigania przestępstw, jak i działalności oskarżycielskiej oraz dostępu do danych osobowych, prokurator legitymujący się ustawowym upoważnieniem i limitowany normami proceduralnymi, nie musi posiadać odrębnego upoważnienia do dostępu do danych osobowych”.

Warto też przywołać uzasadnienie Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie, z którym zgodził się NSA w przedmiotowej sprawie. WSA wskazał bowiem, że: „ze względu na treść art. 5 ustawy o ochronie danych osobowych nie do przyjęcia jest pogląd, że konieczne jest specjalne upoważnienie dla prokuratora do wglądu do akt prowadzonego postępowania karnego, rejestrów i innych urządzeń ewidencyjnych tworzonych dla potrzeb prowadzonych postępowań karnych, skoro dostęp do danych w ramach prowadzonych postępowań karnych przysługuje prokuratorom z mocy prawa w odniesieniu do wszystkich zbiorów danych, także chronionych. Prokuratorzy i sędziowie mają bowiem z mocy prawa – bez konieczności uzyskiwania specjalnych uprawnień – dostęp do danych szczególnie chronionych – przykładowo informacji niejawnych, które objęte są ochroną niewspółmiernie wysoką w porównaniu z danymi osobowymi”.

Ważne:

Koncepcja ustawowego upoważnienia jest w praktyce przyjmowana w niektórych podmiotach (szczególnie z sektora publicznego). Stronnicy tej koncepcji uznają, że jeżeli ustawa przyznaje konkretne kompetencje sprecyzowanej kategorii osób, osobie pełniącej daną funkcję czy też organowi (niekiedy przepisy rangi ustawowej wprost wskazują jakie kategorie osób mają dostęp do prowadzonego na podstawie przepisów prawa rejestru), to nadawanie upoważnień w trybie art. 37 uodo i uwzględnianie tych osób w ewidencji upoważnień zgodnie z art. 39 uodo jest zbędne.

Bazując na koncepcji ustawowego upoważnienia, pojawiają się opinie, że ABI w zakresie pełnienia swojej funkcji jest upoważniony do przetwarzania danych na podstawie samej ustawy o ochronie danych osobowych (tj. art. 36a ust. 2 uodo – określający jego zadania) i w związku z tym nadawanie mu upoważnienia, uznać należy za zbyteczne. W takim przypadku nie powinien on być również uwzględniany w ewidencji osób upoważnionych prowadzonej zgodnie z art. 39 uodo.

Brak upoważnienia dla ABI – jakie ma to konsekwencje dla ADO

Moim zdaniem przyjęcie koncepcji ustawowego upoważnienia, jest dla ADO znacznie bardziej ryzykowne i może znacząco utrudniać mu kontrolę nad administrowanymi przez niego danymi. Po pierwsze, nadając upoważnienia wszystkim osobom, które mają dostęp do przetwarzanych danych w trybie przewidzianym przez uodo, ADO ma rzeczywistą kontrolę i wiedzę o tym, kto i do jakiego zakresu danych ma dostęp (co znacznie ułatwia zarządzanie w sytuacjach kryzysowych związanych np. z naruszeniem zasad przetwarzania danych).

Po drugie, upoważnienie jest w praktyce najczęściej podstawą do nadania uprawnienia do przetwarzania danych w systemie informatycznym. Przyjmując koncepcję ustawowego upoważnienia, i tak konieczne byłoby wskazywanie we wniosku o nadanie uprawnienia do przetwarzania danych w systemie informatycznym podstawy prawnej (konkretnych przepisów ustawy) upoważniających do przetwarzania danych w ramach danego systemu informatycznego.

Po trzecie, nie ma jasnej wykładni, jak powinny wyglądać i jak precyzyjne powinny być przepisy ustawowe, aby były właściwym ustawowym upoważnieniem do przetwarzania danych, wyłączając jednocześnie stosowanie art. 37 i 39 uodo. Naczelny Sąd Administracyjny jednoznacznie wskazał bowiem jedynie na ustawowe upoważnienie do przetwarzania danych przez sędziów i prokuratorów. Niepewność w tym zakresie (a więc kto i do jakiego zakresu danych jest upoważniony) jest z punktu widzenia ADO ryzykowna i niekorzystna.

Ważne:

Jeśli administrator danych odwołuje się do art. 5 ustawy o ochronie danych osobowych, zgodnie z którym należy stosować przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, jeżeli przewidują one dalej idącą ich ochronę, niż wynika to z ustawy o ochronie danych osobowych, musi ocenić, czy rzeczywiście przepisy odrębnych ustaw przewidują dalej idącą ochronę.

Bezpieczne rozwiązanie: Nadanie upoważnienia ABI

Moim zdaniem administrator danych powinien dopełnić wymogu upoważnienia administratora bezpieczeństwa informacji w trybie przewidzianym w ustawie o ochronie danych osobowych. W praktyce często to ABI jest osobą, która z upoważnienia ADO nadaje upoważnienia do przetwarzania danych. Pamiętać jednak należy, że w zakresie tym zawsze działa na mocy upoważnienia do dokonywania tego rodzaju czynności.

Kompetencji do wydawania upoważnień administrator danych nie może się wyzbyć i to on powinien w tym przypadku nadać ABI upoważnienie do przetwarzania danych. W związku z wykonywaniem przez administratora bezpieczeństwa informacji obowiązków określonych w art. 36a ust. 2 ustawy o ochronie danych osobowych zakres danych, do których powinien być upoważniony, musi być bardzo szeroki.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Wojciech Rudzki

Autor: Jan Tyski

specjalista ds. ochrony danych osobowych

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x