Jak Google przegrał walkę o ABI’ego
Dodano: 27-02-2014 w kategorii: Obowiązki ADO i ABI, Kontrola GIODO, Decyzje GIODO. Dodane przez: dr Dominik Lubasz.
W dniu 21 lutego 2014 r. Naczelny Sąd Administracyjny (I OSK 2445/12) oddalił skargę kasacyjną od wyroku WSA w Warszawie oddalającego skargę Google Inc. na decyzję Generalnego Inspektora Ochrony Danych Osobowych zobowiązującej Google do wyznaczenia administratora bezpieczeństwa informacji.
Problematyka analizowana przez GIODO oraz sądy administracyjne dotyczyła stosowania art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, a zatem właśnie problematyki wyznaczania administratora bezpieczeństwa informacji.
Przypomnijmy zgodnie z art. 36 ust. 3 u.o.d.o. administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony osobowych, chyba że sam wykonuje te czynności.
Na skutek postępowania GIODO, stosując art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, nakazał spółce Google Inc. usunięcie uchybienia w procesie przetwarzania danych osobowych, poprzez wyznaczenie administratora bezpieczeństwa informacji.
Zdaniem GIODO, wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji możliwe jest jedynie wówczas, gdy administrator danych jest osobą fizyczną. W takiej sytuacji zatem Spółka, jako administrator danych, powinna wyznaczyć osobę fizyczną, która byłaby odpowiedzialna za proces bezpieczeństwa informacji i nadzór nad przestrzeganiem zasad ochrony
Taką interpretację przepisu art. 36 ust. 3 u.o.d.o. kwestionował Google, wskazując, że art. 36 ust. 3 u.o.d.o. przewiduje dwie odrębne sytuacje sprawowania nadzoru nad przestrzeganiem zasad ochrony danych osobowych, tj. poprzez wyznaczenie administratora bezpieczeństwa informacji oraz poprzez samodzielne wykonywanie przez administratora danych czynności nadzorczych. Na odrębność tych dwóch sytuacji wskazuje literalne brzmienie przepisu, w tym przede wszystkim zawarty w nim spójnik "chyba że". W odniesieniu do drugiej sytuacji, przepis art. 36 ust. 3 ustawy nie zawiera jakichkolwiek ograniczeń podmiotowych, które wskazywałyby, że może ona mieć zastosowanie wyłącznie do określonej kategorii administratorów danych, np. wyłącznie do osób fizycznych prowadzących działalność gospodarczą.
W ocenie Google, przytoczonej przez WSA, nie powinno ulegać wątpliwości, że w ramach struktury organizacyjnej administratora danych, będącego osobą prawną, sam administrator danych (a konkretnie osoby kierujące daną jednostką organizacyjną, zgodnie z mającą zastosowanie regulacją prawną) jest władny do podejmowania decyzji i wyciągania określonych konsekwencji wobec pracowników upoważnionych do przetwarzania danych osobowych.
Zaprezentowane stanowisko Google nie zostało zaakceptowane w toku kontroli instancyjnej przez WSA w Warszawie (wyrok z dnia 5 lipca 2012 r IISA/Wa 630/12), który akceptując argumentację GIODO stwierdził dodatkowo, iż ustawa o ochronie danych osobowych wskazuje w art. 7 pkt 4, że administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych, a w związku z tym nie powinno budzić wątpliwości, że w każdej sytuacji, w której struktura organizacyjna administratora danych jest wieloosobowa, powinien on w ramach tej struktury wyznaczyć osobę fizyczną odpowiedzialną za wykonywanie czynności nadzorczych, powierzając jej obowiązki administratora bezpieczeństwa informacji, i to niezależnie od tego, czy administrator danych jest organem, jednostką organizacyjną, podmiotem czy osobą prawną.
Sprawa zakończyła się ostatecznie przegraną Google Inc. wyrokiem NSA z dnia 21 lutego 2014 r. oddalającym skargę kasacyjną spółki.
Znaczenie rozstrzygnięcia jest jednak znacznie donioślejsze niż tylko przegrana Google, bowiem wyklucza ono w strukturach wieloosobowych samodzielne wykonywanie czynności nadzorczych nad przestrzeganiem zasad ochrony danych osobowych przez administratora i każdorazową konieczność wyznaczenia administratora bezpieczeństwa informacji.
dr Dominik Lubasz
e-mail:
Alerty prawno-podatkowe