Jestem członkiem trzyosobowego zarządu spółki z o.o. Ponieważ spółka przetwarza znaczne ilości danych, postanowiono powołać administratora bezpieczeństwa informacji. Stanowisko powierzono jednemu z członków zarządu, jednak podczas dyskusji na zebraniu zarządu powstały wątpliwości, czy takie postępowanie jest właściwe. Czy zatem pełnienie funkcji administratora bezpieczeństwa informacji i jednoczesne piastowanie stanowiska w zarządzie spółki z o.o. jest zgodne z prawem?
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych, wyposażając administratora bezpieczeństwa informacji (ABI) w wiele kompetencji nadzorczych i rejestracyjnych, stawia jednocześnie względem osoby powołanej na to stanowisko konkretne wymagania. Również na przedsiębiorcy powołującym ABI spoczywają dodatkowe obowiązki. Powinien on bowiem zapewnić, że stanowisko ABI będzie:
- bezpośrednio podlegało kierownikowi jednostki (jej zarządowi) albo osobie fizycznej będącej administratorem danych osobowych,
- posiadało organizacyjną odrębność niezbędną do niezależnego wykonywania przez ABI powierzonych mu zadań.
W tym miejscu warto przypomnieć, co leży w kompetencjach ABI. Osoba ta zajmuje się w przedsiębiorstwie m.in. sprawdzaniem zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, w tym także na polecenie generalnego inspektora ochrony danych osobowych, a ponadto prowadzeniem rejestru zbiorów danych przetwarzanych przez administratora, poza ustawowymi wyjątkami. Tak więc kompetencje ABI są szerokie.
Powyższe argumenty przemawiają za wyłączeniem możliwości łączenia funkcji w zarządzie spółki z powołaniem na stanowisko ABI. Przede wszystkim bowiem taka sytuacja nie zapewnia organizacyjnej odrębności i niezależności ABI, który w praktyce byłby jednocześnie administratorem danych osobowych. W spółkach kapitałowych funkcja ta sprawowana jest bowiem przez organ zarządzający.
Konsekwencje niewłaściwego wyboru
Powołanie na stanowisko ABI osoby będącej jednocześnie członkiem zarządu należy oceniać przez pryzmat przepisu art. 36b, tj. braku powołania administratora bezpieczeństwa informacji w przedsiębiorstwie. W takiej sytuacji to administrator danych osobowych zobowiązany jest do wykonywania obowiązków ABI, za wyjątkiem przeprowadzania kontroli zgodności przetwarzania danych osobowych z prawem, a także prowadzenia rejestru zbiorów danych osobowych. Kompetencje te, w razie braku ABI, przysługują wyłącznie Generalnemu Inspektorowi Ochrony Danych Osobowych. Stąd też na administratorze danych w takim przypadku spoczywają dodatkowe obowiązki (o tym dalej).
Po zgłoszeniu ABI, który byłby jednocześnie członkiem zarządu, do rejestru prowadzonego przez generalnego inspektora ochrony danych osobowych należy się spodziewać odmowy wpisania takiej osoby do przedmiotowego rejestru.
Inne możliwości
Przedsiębiorca, który w błędny sposób próbował powołać ABI, ma do wyboru dwie możliwości:
- przede wszystkim możliwie szybko powołać na stanowisko ABI inną osobę, która spełnia warunek organizacyjnej odrębności i niezależności;
- zdecydować się na samodzielne wykonywanie obowiązków w zakresie ochrony danych osobowych.
Wybierając drugi wariant, zarząd spółki mógłby powołać pełnomocnika zarządu ds. ochrony danych osobowych, który działałby wszakże jedynie w zakresie kompetencji administratora danych osobowych. Mógłby zatem udzielać upoważnień do przetwarzania danych osobowych bądź być odpowiedzialny za opracowanie i aktualizację dokumentacji (np. polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym), a także za zapoznanie pracowników z przepisami o ochronie danych osobowych. Konkretny zakres uprawnień takiego pełnomocnika wynikałby z treści udzielonego mu pełnomocnictwa. Nie działałby przy tym jako samodzielny organ, a jedynie jako umocowany przedstawiciel zarządu (administratora danych osobowych). Na marginesie należy zwrócić uwagę, że udzielenie pełnomocnictwa przez zarząd powinno zostać poprzedzone powzięciem stosownej uchwały przez ten organ spółki.

Inspektor ochrony danych będzie jeszcze bardziej niezależny

Od 25 maja 2018 r., tj. wraz z wejściem w życie RODO (rozporządzenia Parlamentu Europejskiego i Rady [UE] 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; Dz.Urz. UE z 2016 r. L 119, s. 1) ABI zostanie zastąpiony inspektorem ochrony danych (IOD). Rozporządzenie zapewnia jeszcze szersze gwarancje niezależności tej osoby niż obecne przepisy ABI. RODO zastrzega, że osoba piastująca tę funkcję ma podlegać bezpośrednio najwyższemu kierownictwu administratora albo procesora. Wskazuje też, że inne obowiązki przydzielone inspektorowi nie mogą prowadzić do konfliktu interesów. Ale co więcej: zabrania karania i odwoływania inspektora za wypełnianie jego zadań. Z przepisów tych wywnioskować należy, że również pod rządami RODO nie będzie możliwe łączenie funkcji inspektora i członka zarządu spółki.

Do podstawowych obowiązków IOD będzie należało m.in.:

● informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów prawa;

● monitorowanie przestrzegania przepisów oraz polityk w firmie, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz przeprowadzanie powiązanych z tym audytów;

● udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,

● współpraca z organem nadzorczym (w Polsce jest nim GIODO),

● pełnienie roli punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.