Wyrok WSA w Warszawie z dnia 5 lipca 2012 r., sygn. II SA/Wa 630/12
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Jacek Fronczyk (sprawozdawca), Sędziowie WSA Danuta Kania, Janusz Walawski, Protokolant, referent stażysta Katarzyna Skurzyńska, po rozpoznaniu na rozprawie w dniu 5 lipca 2012 r. sprawy ze skargi G. z siedzibą w M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lutego 2012 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
Decyzją z dnia [...] grudnia 2011 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, stosując art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), nakazał G. z siedzibą w M. [...] usunięcie uchybienia w procesie przetwarzania danych osobowych, poprzez wyznaczenie administratora bezpieczeństwa informacji, w terminie 3 dni od dnia, w którym decyzja stanie się ostateczna.
W motywach rozstrzygnięcia organ wyjaśnił, że w toku kontroli zgodności przetwarzania danych przy użyciu urządzeń i systemów informatycznych, służących do [...], z przepisami ww. ustawy o ochronie danych osobowych i rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), ustalono, iż w procesie przetwarzania danych osobowych Spółka G., jako administrator danych, naruszyła przepisy o ochronie danych osobowych w ten sposób, że nie wyznaczyła administratora bezpieczeństwa informacji, jak tego wymaga art. 36 ust. 3 ustawy o ochronie danych osobowych. Zgodnie bowiem z tym przepisem, administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1 (administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem), chyba że sam wykonuje te czynności. Zdaniem GIODO, wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji możliwe jest jedynie wówczas, gdy administrator danych jest osobą fizyczną. Jednak w przedmiotowej sprawie tak nie jest, gdyż G. nie jest osobą fizyczną. W takiej sytuacji Spółka, jako administrator danych, powinna wyznaczyć osobę fizyczną, która byłaby odpowiedzialna za proces bezpieczeństwa informacji i nadzór nad przestrzeganiem zasad ochrony. Dla wzmocnienia swojej argumentacji organ ochrony danych osobowych powołał się na przepis art. 18 ust. 2 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L. 281 z dnia 23 listopada 1995 r., s. 31 ze zm.), który stanowi o powołaniu urzędnika do spraw ochrony danych osobowych, odpowiedzialnego w szczególności za zapewnienie w niezależny sposób wewnętrznego stosowania przepisów prawa krajowego, przyjętych na mocy dyrektywy. W ocenie GIODO, na gruncie ustawy o ochronie danych osobowych administrator bezpieczeństwa informacji jest odpowiednikiem wymienionego w powyższym przepisie dyrektywy urzędnika do spraw ochrony danych osobowych i trudno uznać, by jego kompetencje mogła wykonywać osoba prawna.