Administratorem bezpieczeństwa informacji nie może być anonimowy pracownik lub zespół pracowników zatrudnionych w spółce. Jeśli struktura organizacyjna administratora danych jest wieloosobowa, powinien on wyznaczyć osobę fizyczną odpowiedzialną za nadzór nad bezpieczeństwem informacji – orzekł Naczelny Sąd Administracyjny w sprawie Google Inc. przeciwko GIODO (syng. akt. I OSK 2445/12). Mapy Google z funkcją Street View umożliwiają wirtualne podróże i oglądanie zdjęć panoramicznych z całego świata, w tym od 2012 r. także z Polski. Na zdjęciach pokazujących miejsca publiczne twarze osób i tablice rejestracyjne pojazdów są zamazywane, tak że ich rozpoznanie jest niemożliwe. Można również zażądać zamazania całej osoby, samochodu czy domu. Pomimo to, Generalny Inspektor Ochrony Danych Osobowych podczas kontroli stwierdził, że Google Inc., jako administrator danych, naruszył przepisy poprzez niewyznaczenie administratora bezpieczeństwa informacji, jak tego wymaga art. 36 ust. 3 ustawy o ochronie danych osobowych. Zgodnie bowiem z tym przepisem, administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności. GIODO nakazał więc spółce, aby wyznaczyła administratora w terminie 3 dni od dnia, w którym decyzja stanie się ostateczna. Spółka Google nie zgodziła się z decyzją GIODO twierdząc, że przestrzeganie zasad ochrony danych osobowych nadzoruje sama firma, jako administrator baz danych, wprowadzając w tym celu odpowiednie procedury organizacyjne. NSA nie zgodził się z argumentacją Google Inc. nie pozostawiając w tej kwestii żadnych wątpliwości – gdy administratorem danych jest organ lub osoba prawna, musi być wyznaczony konkretny administrator bezpieczeństwa informacji.
mar
07