Czy ABI powinien mieć upoważnienie do przetwarzania danych osobowych

Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby, które mają upoważnienie nadane przez administratora danych (art. 37 ustawy o ochronie danych osobowych). ADO prowadzi ewidencję osób upoważnionych do ich przetwarzania (art. 39 ust. 1 uodo). W praktyce pojawiają się wątpliwości, czy tego rodzaju upoważnienie powinna mieć każda osoba dopuszczona do przetwarzania danych, czy też niektóre z osób piastujących określone stanowisko są zwolnione z obowiązku jego posiadania. Na tym tle dyskusje wywołuje w szczególności to, czy administrator bezpieczeństwa informacji w zakresie sprawowania swojej funkcji również powinien mieć tego rodzaju upoważnienie oraz kto ewentualnie takie upoważnienie powinien mu wydać. W tym kontekście można zaprezentować dwa podejścia.

Zwolennicy podejścia, zgodnie z którym nie trzeba upoważniać niektórych osób w trybie art. 37 uodo i ewidencjonować tych upoważnień zgodnie z art. 39 uodo, często powołują się na wyrok Naczelnego Sądu Administracyjnego (NSA) z 21 grudnia 2006 r. (sygn. akt. I OSK 1279/05). W sprawie, którą rozpatrywał NSA, prokurator złożył skargę do sądu administracyjnego na decyzję Generalnego Inspektora Ochrony Danych Osobowych nakazującą m.in. uwzględnienie prokuratorów w ewidencji osób upoważnionych do przetwarzania danych. W sprawie tej sądy administracyjne nie podzieliły jednak poglądu GIODO.

NSA w uzasadnieniu wskazał, że do „podejmowania tych (tj. m.in. prowadzenia postępowania przygotowawczego – art. 298 i nast. Kodeksu postępowania karnego,  występowania w postępowaniu karnym jako oskarżyciel – art. 45 § 1 i nast. kpk – przyp. autora) czynności zarówno w sferze ścigania przestępstw, jak i działalności oskarżycielskiej oraz dostępu do danych osobowych, prokurator legitymujący się ustawowym upoważnieniem i limitowany normami proceduralnymi, nie musi posiadać odrębnego upoważnienia do dostępu do danych osobowych”.

Warto też przywołać uzasadnienie Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie, z którym zgodził się NSA w przedmiotowej sprawie. WSA wskazał bowiem, że: „ze względu na treść art. 5 ustawy o ochronie danych osobowych nie do przyjęcia jest pogląd, że konieczne jest specjalne upoważnienie dla prokuratora do wglądu do akt prowadzonego postępowania karnego, rejestrów i innych urządzeń ewidencyjnych tworzonych dla potrzeb prowadzonych postępowań karnych, skoro dostęp do danych w ramach prowadzonych postępowań karnych przysługuje prokuratorom z mocy prawa w odniesieniu do wszystkich zbiorów danych, także chronionych. Prokuratorzy i sędziowie mają bowiem z mocy prawa – bez konieczności uzyskiwania specjalnych uprawnień – dostęp do danych szczególnie chronionych – przykładowo informacji niejawnych, które objęte są ochroną niewspółmiernie wysoką w porównaniu z danymi osobowymi”.

Bazując na koncepcji ustawowego upoważnienia, pojawiają się opinie, że ABI w zakresie pełnienia swojej funkcji jest upoważniony do przetwarzania danych na podstawie samej ustawy o ochronie danych osobowych (tj. art. 36a ust. 2 uodo – określający jego zadania) i w związku z tym nadawanie mu upoważnienia, uznać należy za zbyteczne. W takim przypadku nie powinien on być również uwzględniany w ewidencji osób upoważnionych prowadzonej zgodnie z art. 39 uodo.

Moim zdaniem przyjęcie koncepcji ustawowego upoważnienia, jest dla ADO znacznie bardziej ryzykowne i może znacząco utrudniać mu kontrolę nad administrowanymi przez niego danymi. Po pierwsze, nadając upoważnienia wszystkim osobom, które mają dostęp do przetwarzanych danych w trybie przewidzianym przez uodo, ADO ma rzeczywistą kontrolę i wiedzę o tym, kto i do jakiego zakresu danych ma dostęp (co znacznie ułatwia zarządzanie w sytuacjach kryzysowych związanych np. z naruszeniem zasad przetwarzania danych).

Po drugie, upoważnienie jest w praktyce najczęściej podstawą do nadania uprawnienia do przetwarzania danych w systemie informatycznym. Przyjmując koncepcję ustawowego upoważnienia, i tak konieczne byłoby wskazywanie we wniosku o nadanie uprawnienia do przetwarzania danych w systemie informatycznym podstawy prawnej (konkretnych przepisów ustawy) upoważniających do przetwarzania danych w ramach danego systemu informatycznego.

Po trzecie, nie ma jasnej wykładni, jak powinny wyglądać i jak precyzyjne powinny być przepisy ustawowe, aby były właściwym ustawowym upoważnieniem do przetwarzania danych, wyłączając jednocześnie stosowanie art. 37 i 39 uodo. Naczelny Sąd Administracyjny jednoznacznie wskazał bowiem jedynie na ustawowe upoważnienie do przetwarzania danych przez sędziów i prokuratorów. Niepewność w tym zakresie (a więc kto i do jakiego zakresu danych jest upoważniony) jest z punktu widzenia ADO ryzykowna i niekorzystna.

Moim zdaniem administrator danych powinien dopełnić wymogu upoważnienia administratora bezpieczeństwa informacji w trybie przewidzianym w ustawie o ochronie danych osobowych. W praktyce często to ABI jest osobą, która z upoważnienia ADO nadaje upoważnienia do przetwarzania danych. Pamiętać jednak należy, że w zakresie tym zawsze działa na mocy upoważnienia do dokonywania tego rodzaju czynności.

Kompetencji do wydawania upoważnień administrator danych nie może się wyzbyć i to on powinien w tym przypadku nadać ABI upoważnienie do przetwarzania danych. W związku z wykonywaniem przez administratora bezpieczeństwa informacji obowiązków określonych w art. 36a ust. 2 ustawy o ochronie danych osobowych zakres danych, do których powinien być upoważniony, musi być bardzo szeroki.