Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/31

Kraj:

Polska

Data wydania decyzji:

12.09.2025 r.

Podmiot kontrolowany:

Specer

Wysokość kary (EUR):

2.700

Podstawa prawna naruszenia

Art. 38 ust. 6 RODO.

Nieprzestrzeganie zasad związanych z powołaniem IOD.

 

Przyczyna naruszenia

Naruszenie wynikało z powierzenia funkcji inspektora ochrony danych (IOD) osobie pełniącej równocześnie funkcję prezesa zarządu. Spółka Specer uznała, że takie rozwiązanie jest „optymalne”, uzasadniając to specyfiką działalności medycznej i wsparciem zewnętrznych ekspertów. PUODO uznał, że łączenie stanowiska prezesa i IOD narusza art. 38 ust. 6 RODO, ponieważ nie zapewnia niezależności inspektora i prowadzi do klasycznego konfliktu interesów.

 

Opis wydarzeń

  1. Błąd w dokumentacji medycznej: W sierpniu 2023 r. Spółka prowadząca działalność medyczną omyłkowo wydała pacjentowi zaświadczenie, w którym znalazły się dane innego pacjenta. Zgłosiła ten incydent do PUODO. W zgłoszeniu wskazała, że IOD‑em jest prezes zarządu.

  2. Postępowanie administracyjne: Po analizie zgłoszenia PUODO wszczął w maju 2025 r. z urzędu postępowanie w sprawie naruszenia art. 38 ust. 6 RODO. Postępowanie dotyczyło okresu od 16 lipca 2018 r. do 4 lipca 2024 r., kiedy to ta sama osoba pełniła funkcję prezesa zarządu i IOD.

  3. Analiza spółki: Spółka przedstawiła dokumentację, w której wykazała, że przeprowadziła ponowną analizę niezależności IOD. Wskazywała, że korzysta z pomocy zewnętrznych ekspertów i że połączenie funkcji prezesa i IOD nie generuje konfliktu interesów.

  4. Ocena PUODO: Organ nadzorczy uznał, że analiza spółki opiera się na błędnej interpretacji art. 38 ust. 6 RODO. Zwrócił uwagę, że osobą zatwierdzającą analizę była ta sama osoba, której dotyczyła (prezes/IOD), co już samo w sobie świadczy o braku niezależności. Argumenty dotyczące tajemnicy lekarskiej i specyfiki działalności uznano za nieistotne.

  5. Decyzja: Prezes UODO stwierdził naruszenie art. 38 ust. 6 RODO i nałożył na spółkę karę administracyjną w wysokości 11 365 zł. W uzasadnieniu podkreślono, że wymóg niezależności IOD wynika z ochrony podstawowych praw osób fizycznych i jest niezbędny do skutecznego egzekwowania przepisów RODO.

  6. Publikacja komunikatu PUODO: W komunikacie prasowym PUODO przypomniał, że IOD musi być niezależny od władz spółki, a administrator danych ma obowiązek zapewnić warunki, które nie powodują konfliktu interesów. Wskazano, że spółka powołała się na błędną wykładnię art. 38 ust. 6 RODO i że argumenty o tajemnicy lekarskiej nie zwalniają z obowiązku zachowania niezależności. Komunikat podkreśla, że IOD powinien móc raportować kierownictwu o zagrożeniach oraz wskazywać działania naprawcze.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zapewnienie niezależności IOD: IOD powinien podlegać bezpośrednio najwyższemu kierownictwu, nie mogąc jednocześnie zajmować stanowiska, na którym decyduje o celach i sposobach przetwarzania danych. Wytyczne Grupy Roboczej Art. 29 (obecnie EROD) wskazują, że stanowiska kierownicze (np. prezes, dyrektor operacyjny, dyrektor IT) z zasady prowadzą do konfliktu interesów.

  2. Dokonywanie analizy potencjalnego konfliktu interesów: Przed powołaniem IOD należy ocenić, czy jego inne obowiązki nie uniemożliwią niezależnego wykonywania zadań. Analiza powinna obejmować aspekty organizacyjne, merytoryczne i czasowe.

  3. Oddzielenie funkcji IOD od zarządzania: Osoby odpowiedzialne za strategiczne decyzje (zarząd, dyrektorzy) nie powinny pełnić funkcji IOD. Nawet w małych organizacjach należy unikać sytuacji, w której IOD oceniałby własne działania.

  4. Udokumentowanie procesów i zapewnienie wsparcia dla IOD: IOD powinien mieć dostęp do zasobów i wsparcia (merytorycznego i technicznego) umożliwiającego wykonywanie obowiązków. Zewnętrzni eksperci mogą wspierać IOD, lecz nie zastąpią wymogu niezależności.

  5. Prowadzenie szkoleń i budowanie świadomości: Pracownicy i kadra zarządzająca powinni być świadomi wymogów RODO oraz roli IOD. Regularne szkolenia pomagają zrozumieć, dlaczego rozdzielenie funkcji jest konieczne.

  6. Zgłaszanie naruszenia i aktualizowanie procedury: W sytuacji stwierdzenia naruszenia ochrony danych osobowych należy niezwłocznie zgłosić je do organu nadzorczego i przeanalizować, czy obecne procedury są wystarczające. Prowadzenie rejestru naruszeń i aktualizacja procedur pomagają w unikaniu przyszłych incydentów.

  7. Korzystanie z wytycznych organów i orzecznictwa: PUODO oraz EROD publikują wytyczne dotyczące statusu IOD i unikania konfliktu interesów. Organizacje powinny systematycznie zapoznawać się z tymi materiałami i stosować je w praktyce.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO