W toku kontroli procesu przetwarzania danych Generalny Inspektor Ochrony Danych Osobowych wykrył, iż spółka, jako administrator danych, naruszyła przepisy o ochronie danych osobowych w ten sposób, że nie wyznaczyła administratora bezpieczeństwa informacji, jak tego wymaga art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Zgodnie bowiem z tym przepisem, administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności. Zdaniem GIODO, wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji możliwe jest jedynie wówczas, gdy administrator danych jest osobą fizyczną. Natomiast w sytuacji, gdy administratorem jest spółka, powinna ona wyznaczyć osobę fizyczną, która byłaby odpowiedzialna za proces bezpieczeństwa informacji i nadzór nad przestrzeganiem zasad ochrony. W konsekwencji GIODO nakazał spółce usunięcie uchybienia w procesie przetwarzania danych osobowych, poprzez wyznaczenie administratora bezpieczeństwa informacji.

Spółka wniosła o uchylenie decyzji, wskazując, że art. 36 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) przewiduje dwie odrębne sytuacje sprawowania nadzoru nad przestrzeganiem zasad ochrony danych osobowych, tj. poprzez wyznaczenie administratora bezpieczeństwa informacji oraz poprzez samodzielne wykonywanie przez administratora danych czynności nadzorczych.

WSA rozpatrując skargę zgodził się, iż ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) nakłada na administratora danych obowiązek wyznaczenia administratora bezpieczeństwa informacji w każdym przypadku, jeśli zadań administratora bezpieczeństwa informacji administrator danych nie wykonuje sam lub nie może wykonywać ich samodzielnie. Zdaniem WSA rację ma zatem strona skarżąca, twierdząc, że przepis art. 36 ust. 3 ustawy przewiduje dwie odrębne sytuacje sprawowania nadzoru nad przestrzeganiem zasad ochrony danych osobowych. Pierwszą jest wyznaczenie administratora bezpieczeństwa informacji, drugą zaś – samodzielne wykonywanie przez administratora danych czynności nadzorczych. Istotnie, odrębność tych dwóch sytuacji potwierdza zwrot "chyba że". Jednakże wprowadzenie takiej właśnie konstrukcji w brzmieniu tego przepisu ma swoje uzasadnienie prawne. Skoro bowiem ustawa o ochronie danych osobowych wskazuje w art. 7 pkt 4, że administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych, to nie powinno budzić wątpliwości, że w każdej sytuacji, w której struktura organizacyjna administratora danych jest wieloosobowa, powinien on w ramach tej struktury wyznaczyć osobę fizyczną odpowiedzialną za wykonywanie czynności nadzorczych, powierzając jej obowiązki administratora bezpieczeństwa informacji, i to niezależnie od tego, czy administrator danych jest organem, jednostką organizacyjną, podmiotem czy osobą prawną.

WSA podkreślił, iż w przepisach prawno-karnych ustawy o ochronie danych osobowych, chodzi o przestępstwa indywidualne, popełniane w związku z naruszeniem przepisów tej ustawy, a więc rzecz dotyczy odpowiedzialności konkretnych osób fizycznych, zważywszy że ustawa rozróżnia pojęcia "administratora danych" i "administrującego zbiorem danych". To z tego względu prawodawca wprowadził obowiązek, by osobą odpowiedzialną za nadzór i bezpieczeństwo przetwarzania danych osobowych w podmiotach o wieloosobowej strukturze organizacyjnej była konkretnie wskazana osoba fizyczna. Jedynie bowiem w przypadku administratorów danych, będących osobami fizycznymi, którzy samodzielnie (osobiście) administrują proces przetwarzania danych, ustawa nie nakłada obowiązku wyznaczenia administratora bezpieczeństwa informacji, gdyż tylko w takiej sytuacji administrator danych jednocześnie dzierży uprawnienia i obowiązki administratora bezpieczeństwa informacji, co pozwala na ustalenie jego odpowiedzialności i w konsekwencji na zastosowanie sankcji karnych, gdyby – prowadząc swą działalność – naruszył przepisy o ochronie danych osobowych.

Na podstawie: Wyrok WSA w Warszawie z 5 lipca 2012 r., sygn. akt II SA/Wa 630/12, nieprawomocny