Generalny Inspektor Ochrony Danych Osobowych 1 grudnia 2012 r. nakazał spółce Google, znanej wyszukiwarce internetowej wyznaczenie administratora bezpieczeństwa informacji, w terminie 3 dni od dnia, w którym decyzja stanie się ostateczna.
Inspektor wyjaśnił, że w procesie przetwarzania danych osobowych Google, jako administrator danych, naruszyła przepisy o ochronie danych osobowych w ten sposób, że nie wyznaczyła administratora bezpieczeństwa informacji, jak tego wymaga art. 36 ust. 3 ustawy o ochronie danych osobowych. Zgodnie bowiem z tym przepisem, administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności.
Zdaniem GIODO, wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji możliwe jest jedynie wówczas, gdy administrator danych jest osobą fizyczną. Jednak w tej sprawie tak nie jest, gdyż G. nie jest osobą fizyczną. W takiej sytuacji spółka, jako administrator danych, powinna wyznaczyć osobę fizyczną, która byłaby odpowiedzialna za proces bezpieczeństwa informacji i nadzór nad przestrzeganiem zasad ochrony.
Google nie zgodził się z tą decyzją i skierował sprawę do Wojewódzkiego Sądu Administracyjnego. Jednak sąd oddalił skargę. Zauważył, iż przepis przewiduje dwie odrębne sytuacje sprawowania nadzoru nad przestrzeganiem zasad ochrony danych osobowych. Pierwszą jest wyznaczenie administratora bezpieczeństwa informacji, drugą zaś – samodzielne wykonywanie przez administratora danych czynności nadzorczych. Istotnie, odrębność tych dwóch sytuacji potwierdza zwrot "chyba że". Sam administrator może wykonywać funkcję nadzoru, jeśli jest jednoosobową spółką. Jeśli zaś ma strukturę rozbudowaną, to wyznacza administratora bezpieczeństwa.
Można by nie powoływać takiego nadzorcy, gdyby zbiory były tworzone "doraźnie". Ma to jednak miejsce wówczas, gdy są one tworzone ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych. Tymczasem w tej sprawie nie chodzi o to, by przetwarzanie danych przy użyciu urządzeń i systemów informatycznych w tym przypadku służyło tylko celom technicznym (np. sprawdzeniu sprawności urządzeń), szkoleniowym (np. zorganizowaniu konferencji) czy dydaktycznym (np. służącym przeprowadzeniu wykładu). Dlatego, że skarżąca spółka prowadzi zarobkową działalność gospodarczą.
Kasację do NSA złożyła spółka Google. Jednak sąd II instancji oddalił skargę i powtórzył argumenty WSA.
Sędzia Barbara Adamik podkreśliła w uzasadnieniu, że jednostka organizacyjna działa zawsze przez swego pracownika lub sama. W tym wypadku administratorem bezpieczeństwa może być nawet prezes spółki, jednak powinien on być wyraźnie wskazany jako pełniący w strukturze taka rolę. Obecnie, jak twierdzi Google funkcje nadzorcze pełni zespół ludzi, i właśnie ten zespół lub jeden pracownik powinien być imiennie wyznaczony do nadzoru nad zbiorami. Anonimowy pracownik nie może wykonywać takiej funkcji - dodała sędzia.
Sygnatura akt I OSK 2445/12, wyrok z 21 lutego 2014 r.
NSA: Google przegrał z inspektorem ochrony danych
Jeden pracownik powinien być imiennie wyznaczony do nadzoru nad bezpieczeństwem informacji w spółce Google. Anonimowy pracownik nie może wykonywać takiej funkcji - orzekł Naczelny Sąd Administracyjny.