103U podstaw systemu ochrony danych osobowych leży zapewnienie jednostce

możli-wie najszerszej ochrony, a obowiązek informacyjny w pełni wpisuje się w ten nurt. Bar-dzo często w przygotowywanych dokumentach (zarówno na szczeblu europejskim, jak i krajowym) podkreśla się, iż podstawowym uprawnieniem osoby, której dane dotyczą jest prawo do kontrolowania udostępnionych danych. Jest ono realizowane zarówno poprzez obowiązek informacyjny, jak i prawo do udostępnienia danych na żądanie.

Bardzo często przedsiębiorcy podejmują próbę poszerzenia informacji o osobie po to, by móc zaoferować jej lepszy towar, czy usługę. Bardzo często zapominają jak wiele trudności sprawia utrzymanie właściwego stanu bezpieczeństwa tych informacji [Sobczak 2015, s. 115]. W takich sytuacjach najpopularniejszym źródłem informacji sta-je się Internet, który stanowi nieograniczone źródło informacji. Powszechnie dostępne portale społecznościowe stanowią niejednokrotnie cenniejsze źródło informacji o jed-nostce niż bezpośrednia z rozmowa. Internet z jednej strony daje nam poczucie ano-nimowości, z drugiej zaś jest miejscem szerokiej wymiany informacji. Nie sposób dziś wymienić liczbę portali, które zachęcają do zakładania kont. Na portalach społecznoś-ciowych chwalimy się osiągnięciami prywatnymi i zawodowymi, dobrowolnie i świa-domie narażając się na niebezpieczeństwo. Niejednokrotnie nie zdajemy sobie sprawy, że pozornie mało istotne dane w połączeniu z danymi dostępnymi na innych stronach internetowych mogą stanowić cenne źródło informacji o jednostce i być wykorzystane w różny sposób, nawet ten niezgodny z prawem. Wobec powyższego należy zastano-wić się, czy i w jakim zakresie informacje takie mogą być wykorzystywane przez admi-nistratora danych osobowych i czy jest on zobowiązany poinformować osobę, której dane dotyczą o źródle pozyskanych informacji. Na tym tle rodzi się także pytanie, czy administratorem danych osobowych może być administrator bezpieczeństwa informa-cji. Pomocne w tym zakresie okazać się może jedno z orzeczeń, w którym NSA stwierdził, iż wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji jest możliwe wyłącznie w sytuacji, gdy administratorem danych jest osoba fizyczna. W wyniku kontroli przeprowadzonej przez GIODO w spółce G. stwierdzono, iż w procesie przetwarzania danych osobowych spółka jako administrator danych nie wyznaczyła administratora bezpieczeństwa informacji, naruszając tym samym art. 36 ust. 3 uodo. Spółka G zaskarżyła powyższą decyzje do sądu administracyjnego. Wyro-kiem z dnia 5 lipca 2012 roku Wojewódzki Sąd Administracyjny w Warszawie (dalej WSA) oddalił skargę wskazując, iż zarzuty podniesione w skardze przez spółkę G są bezza-sadne. Zdaniem sądu w omawianej sprawie nie doszło do naruszenia ani prawa mate-rialnego, ani procesowego. W tym stanie rzeczy spółka G wniosła skargę kasacyjną od powyższego wyroku. NSA po rozpoznaniu sprawy oddalił skargę kasacyjną, uznając rozstrzygnięcie sądu I instancji za prawidłowe. W szczególności sąd podzielił pogląd

104

WSA, zgodnie z którym ustawodawca tworząc podstawy bezpieczeństwa w procesie przetwarzania danych osobowych [art. 36-39 ww. ustawy], swą uwagę koncentruje na odpowiedzialności i możliwości jej egzekwowania. Decydując się na obecnie obowiązu-jące brzmienie art. 36 ust 3 wprowadził obowiązek, by osobą odpowiedzialną za nadzór i bezpieczeństwo przetwarzania danych osobowych w podmiotach o wieloosobowej strukturze organizacyjnej była konkretnie wskazana osoba fizyczna. Jak podkreślił sąd. jedynie w sytuacji gdy administratorem danych jest osoba fizyczna (która samodziel-nie administruje proces przetwarzania danych), ustawodawca samodziel-nie nakłada obowiązku wyznaczenia administratora bezpieczeństwa informacji, gdyż tylko wówczas admini-strator danych pełni obowiązki adminiadmini-stratora bezpieczeństwa informacji, co pozwala na ustalenie jego odpowiedzialności i w konsekwencji na zastosowanie sankcji karnych, gdyby – prowadząc swą działalność – naruszył przepisy o ochronie danych osobowych. Spółka G argumentowała prezentowane stanowisko faktem, iż przepis art. 36 ust. 3 ww. ustawy nie zawiera żadnych ograniczeń podmiotowych, które wskazywałyby lub suge-rowałyby zakres podmiotowy administratorów danych, np. ograniczając ich do wyłącz-nie osób fizycznych prowadzących działalność gospodarczą. Zdawyłącz-niem spółki regułą jest wyznaczenie ABI i powierzenie mu czynności nadzoru. Niemniej jednak ustawodawca przewidział możliwość, by administrator danych samodzielnie dokonywał nadzoru w sy-tuacji, gdy nie wyznaczy ABI. Dodatkowo argumentowano, iż art. 36 ust 3 ww. ustawy przewiduje dwie odrębne sytuacje sprawowania nadzoru: poprzez wyznaczenie ABI oraz samodzielne wykonywanie czynności nadzorczych przez administratora danych, co podkreśla sformułowanie „chyba że”.

Zgodnie bowiem z dyspozycją art. 36 ust. 3 ww. ustawy (przepis od 1.01.2015 r. nie obowiązuje) administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych, o których mowa w ust 1 art. 36 ustawy, chyba że sam wykonuje te czynności. Przytoczony zapis w połączeniu z art. 7 pkt. 4, definiującym administratora danych może sugerować, iż krąg podmiotów wska-zanych przez ustawodawcę nie jest ograniczony wyłącznie do osób fizycznych. Niemniej jednak właściwe wydaje się twierdzenie WSA, zgodnie z którym w każdej sytuacji, w któ-rej struktura organizacyjna administratora danych jest wieloosobowa, powinien on wskazać osobę fizyczną odpowiedzialną za czynności nadzorcze. W omawianej sprawie dodatkowo zaakcentowano, iż wśród podmiotów o rozbudowanych strukturach naj-właściwszym rozwiązaniem jest powołanie administratora bezpieczeństwa informacji. Samodzielne sprawowanie nadzoru przez administratora danych jest możliwe wyłącz-nie wówczas, gdy prowadzi on jednoosobową działalność gospodarczą. Jak podkreślił NSA, administrator danych osobowych, który nie powołał ABI nie może twierdzić, iż z mocy prawa wykonuje obowiązki ABI [Wyrok NSA 2014, s. 236].

105 Należy mieć na względnie, iż z dyspozycji art. 36 ust 1 ustawy wynika, iż na admi-nistratorze danych ciąży między innymi obowiązek zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym. Dodatkowym argumentem na rzecz uzna-nia słuszności stanowiska, zgodnie z którym obowiązek zapewnieuzna-nia nadzoru i bezpie-czeństwa informacji spoczywa na osobie fizycznej, są podobne rozwiązania przyjęte na gruncie prawa wspólnotowego, gdzie funkcjonuje pojęcie urzędnika do spraw ochrony danych (ang. data protection officer).

Podobne stanowisko reprezentują przedstawiciele doktryny, w tym P. Bata i P. Litwiń-ski, którzy uważają, iż administrator danych może samodzielnie wykonywać obowiązki ABI wówczas, gdy jest osobą fizyczną prowadzącą działalność gospodarczą [Barta, Li-twiński 2013, s. 355]. Zdaniem zaś Fajgielskiego [2014, s. 40] „fakt, że administratorem danych może być podmiot inny niż osoba fizyczna, nie stoi na przeszkodzie, aby admi-nistrator danych sprawował nadzór, gdyż zawsze czynności admiadmi-nistratora danych reali-zowane być muszą przez konkretne osoby fizyczne”.

Postępujący rozwój technologiczny, wielowymiarowość stosunków międzyludzkich przyczyniają się niewątpliwie do przetwarzania danych osobowych przez różne pod-mioty. Dlatego tak istotnym wydaje się właściwe określenie, kto jest administratorem danych osobowych oraz właściwe określenie jego kompetencji.

Jak już zostało zauważone zarówno na gruncie prawa europejskiego, jak i polskiego za najistotniejsze uprawnienie podmiotu, którego dane dotyczą, uważa się prawo do informacji na temat procesu przetwarzania danych osobowych, a zwłaszcza jego celu i sposobie. Właściwa realizacja obowiązku jest gwarancją pełnego korzystania przez osobę, której dane dotyczą, z przyznanych jej praw.

Jak zauważa M. Jagielski [2010, s. 120], zagadnienie to należy oceniać z dwóch per-spektyw: z jednej strony jako uprawnienie podmiotu, którego dane dotyczą, z drugiej zaś jako obowiązek administratora danych osobowych. Oba uprawnienia zdaniem au-tora mają charakter niezależny, choć uzupełniają się co do zakresu przekazywanych informacji [Jagielski 2010, s. 121]. Podmiotem, który jest upoważniony do uzyskania in-formacji w tym zakresie jest osoba, której dane dotyczą. Ustawodawca posługuje się uni-wersalną definicją osoby fizycznej, nie dokonując w tym zakresie żadnych uszczegóło-wień. Niemniej jednak chodzi o pełnoletnią osobę fizyczną, posiadającą pełną zdolność do czynności prawnych.

Ustawodawca nałożył na administratora danych liczne obowiązki, w tym obowiązek wskazania właściwej podstawy prawnej przetwarzania danych osobowych [Szerzycki 2010, s. 52]. Dodatkowo na administratorze spoczywa obowiązek zapewnienia właści-wej ochrony danych osobowych (technicznej i prawnej). W szczególności zobowiązany jest do przetwarzania danych zgodnie z jasno określonym celem, czy też

niepoddawa-106

nie dalszemu przetwarzaniu danych, które byłoby z nim niezgodnie. Na administratorze danych osobowych ciąży także obowiązek zapewniania środków technicznych i orga-nizacyjnych, zapewniających ochronę przetwarzanych danych, a co za tym idzie właś-ciwego zabezpieczenia danych przed nieuprawnionym korzystaniem, zniszczeniem, uszkodzeniem czy też utratą. Poza wymienionymi obowiązkami administrator danych zobowiązany jest także poinformować osobę, której dane dotyczą, o przysługujących jej uprawnieniach, w tym prawie do żądania sprostowania, usunięcia danych czy prawie złożenia sprzeciwu.

Administrator danych może pozyskiwać informacje zarówno od podmiotu, które-go dane dotyczą [art. 24 uodo], jak i osoby trzeciej [art. 25 uodo]. Wyodrębnienie tych dwóch podstawowych źródeł pozyskiwania danych przekłada się na rodzaj informacji, które administrator danych zobowiązany jest przekazać osobie, której dane dotyczą. Dlatego tak ważne jest, by osoba, której dane dotyczą, otrzymała możliwie najszerszy zakres informacji tak, by była świadoma planowanych procesów. Enigmatyczne, pobież-ne i niepełpobież-ne przekazanie informacji może doprowadzić do licznych nieścisłości, a to w konsekwencji do żądania poprawienia lub usunięcia nieprawdziwych danych oraz do dalszej konsekwencji prawnych, np. wniesienia powództwa przeciwko administratorowi danych.

Aby uniknąć sytuacji niedoinformowania lub niewłaściwego poinformowania osoby, której dane dotyczą, ustawodawca przewidział katalog informacji, które administrator danych powinien przekazać osobie. Należy mieć także świadomość, iż spełnienie obo-wiązku informacyjnego jest niezbędne dla zapewnienia legalności zbierania danych [Barta, Fajgielski, Markiewicz 2011]. Zarówno na gruncie art. 24, jak i 25 uodo inicjato-rem jest administrator, w odróżnieniu od art. 32 uodo, gdzie osoba, której dane dotyczą, występuje z wnioskiem o udzielenie stosowych informacji. Wówczas na podstawie uzy-skanych informacji może dobrowolnie i świadomie podjąć decyzję, czy chce, by dane dotyczące jej osoby były przetwarzane w danym zbiorze.

Katalog informacji, które administrator jest zobowiązany przekazać osobie, której dane dotyczą, ma charakter otwarty, co za tym idzie, nic nie stoi na przeszkodzie, by administrator danych poszerzył zakres udzielanych informacji także o inne.

Warto zwrócić uwagę na czas, w którym administrator danych zobowiązany jest spełnić obowiązek informacyjny. Czynność ta na podstawie art. 24 uodo ma nastąpić jeszcze przed rozpoczęciem procesu przetwarzania danych. Poprzez taką konstrukcję osoba, której dane dotyczą, ma możliwość nie tylko zapoznania się ze zgromadzonymi informacjami, ale także swobodnie podjąć decyzji co do dalszych kroków.

Osoba, której dane dotyczą powinna zostać poinformowana przede wszystkim, kto jest administratorem jej danych, a co za tym idzie, poznać jego imię i nazwisko lub jego

107