Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/27

Kraj:

Polska

Data wydania decyzji:

12.09.2025 r.

Podmiot kontrolowany:

Podmiot medyczny

Wysokość kary (EUR):

2.700

Podstawa prawna naruszenia

Art. 38 ust. 6 RODO.

Nieprzestrzeganie zasad związanych z powołaniem IOD.

 

Przyczyna naruszenia

Przyczyną naruszenia było przyjęcie przez spółkę nieprawidłowego modelu organizacyjnego, w którym funkcję inspektora ochrony danych powierzono osobie pełniącej jednocześnie funkcję prezesa zarządu. Taki układ od początku tworzył ryzyko, że osoba odpowiedzialna za zarządzanie organizacją będzie jednocześnie kontrolować legalność i prawidłowość własnych działań w obszarze ochrony danych. Dodatkowo spółka, mimo świadomości istniejących w tym zakresie wątpliwości i rekomendacji organów nadzorczych, przez lata utrzymywała to rozwiązanie, uznając je za dopuszczalne i praktyczne.

 

Opis wydarzeń

  1. Początek sprawy: Sprawa nie zaczęła się od kontroli statusu IOD, lecz od zgłoszenia naruszenia ochrony danych osobowych. W sierpniu 2023 r. spółka poinformowała Prezesa UODO o incydencie polegającym na omyłkowym wydaniu pacjentowi zaświadczenia lekarskiego zawierającego częściowo dane innego pacjenta. To właśnie analiza tego zgłoszenia doprowadziła organ do ustalenia, kto formalnie pełni funkcję inspektora ochrony danych w organizacji.
  2. Problem organizacyjny: Z przekazanych przez spółkę informacji wynikało, że funkcję IOD sprawuje osoba będąca jednocześnie prezesem zarządu. Dla organu nadzorczego była to istotna przesłanka do zbadania, czy administrator prawidłowo wdrożył wymogi dotyczące niezależności inspektora ochrony danych. Już na tym etapie pojawiła się zasadnicza wątpliwość: czy osoba stojąca na czele organizacji może skutecznie i bezstronnie monitorować zgodność działań tej samej organizacji z RODO.
  3. Żądanie wyjaśnień dotyczących niezależności IOD: Organ nadzorczyzwrócił się do administratora o przedstawienie wyjaśnień i dokumentów dotyczących dopuszczalności łączenia funkcji prezesa zarządu i IOD. Oczekiwał w szczególności informacji, czy spółka przeprowadziła analizę konfliktu interesów oraz na jakiej podstawie uznała, że taki model jest zgodny z przepisami. Przedmiotem oceny nie było więc samo formalne wyznaczenie IOD, lecz realne zapewnienie warunków do niezależnego wykonywania tej funkcji.
  4. Odpowiedź Spółki: W odpowiedzi administrator wskazał, że analizował tę kwestię już wcześniej, a następnie ponownie ocenił ją w 2023 r. Według spółki nie występowało zagrożenie dla niezależności IOD, a przyjęte rozwiązanie miało być wręcz optymalne z punktu widzenia potrzeb organizacji. Podkreślano doświadczenie osoby pełniącej funkcję IOD, wsparcie ekspertów zewnętrznych oraz ograniczenia finansowe, które utrudniały powierzenie tej funkcji innemu podmiotowi.
  5. Dodatkowe wyjaśnienia: Spółka próbowała uzasadnić swoje stanowisko również tym, że prowadzi działalność w obszarze usług medycznych i przetwarza dane szczególnej kategorii, w tym dane dotyczące zdrowia. W jej ocenie prezes zarządu i tak odpowiadał za ochronę danych szczególnej kategorii oraz za organizację procesów związanych z tajemnicą lekarską. Administrator argumentował więc, że rozszerzenie tej odpowiedzialności o funkcję IOD nie powoduje konfliktu interesów, lecz stanowi naturalne dopełnienie dotychczasowych obowiązków.
  6. Odrzucenie argumentacji: Prezes UODO uznał, że ani branża, ani doświadczenie danej osoby, ani względy organizacyjne nie znoszą obowiązku zapewnienia braku konfliktu interesów. Istota problemu polegała na tym, że prezes zarządu uczestniczy w określaniu celów i sposobów przetwarzania danych osobowych, a więc nie może równolegle pełnić niezależnej funkcji kontrolnej. W praktyce oznaczałoby to sytuację, w której inspektor ochrony danych miałby oceniać decyzje, za które sam odpowiada na poziomie zarządczym.
  7. Krytyka wewnętrznej analizy: Z ustaleń organu nadzorczego wynikało, że analiza mająca potwierdzać brak konfliktu interesów została zatwierdzona przez osobę, której ta analiza dotyczyła, czyli przez prezesa zarządu pełniącego jednocześnie funkcję IOD. Organ uznał to za bardzo wyraźny przejaw braku niezależności i dodatkowy dowód na to, że przyjęty model był wadliwy już na poziomie podstawowej konstrukcji organizacyjnej. W ocenie Prezesa UODO taka sytuacja doskonale pokazuje, dlaczego łączenie najwyższych funkcji kierowniczych z rolą IOD jest co do zasady niedopuszczalne.
  8. Standardy europejskie: Prezes UODO nie ograniczył się do literalnej wykładni RODO. W uzasadnieniu przywołano wyrok TSUE z 9 lutego 2023 r. w sprawie C-453/21 X-FAB, z którego wynika, że konflikt interesów może wystąpić wtedy, gdy IOD wykonuje zadania prowadzące do określania celów i sposobów przetwarzania danych osobowych. Organ odwołał się także do wytycznych Grupy Roboczej Art. 29 oraz do stanowisk innych organów nadzorczych, które konsekwentnie wskazują, że stanowiska kierownicze są zasadniczo niekompatybilne z funkcją IOD.
  9. Czas naruszenia: Spółka utrzymywała ten model przez bardzo długi okres. Jak ustalił organ nadzorczy, prezes zarządu pełnił równolegle funkcję IOD od 16 lipca 2018 r. do 4 lipca 2024 r., a więc niemal przez sześć lat. Co istotne, nie była to sytuacja przypadkowa ani przejściowa. Administrator dwukrotnie analizował status IOD i za każdym razem przyjmował błędny wniosek, że konflikt interesów nie występuje. Prezes UODO uznał więc, że naruszenie miało charakter nie tylko ciągły, ale również świadomy.
  10. Usunięcie stanu niezgodności: Dopiero od 5 lipca 2024 r. funkcję IOD powierzono innej osobie, wykonującej obowiązki na podstawie umowy cywilnoprawnej. Spółka poinformowała o tej zmianie organ nadzorczy. Prezes UODO potraktował to jako okoliczność łagodzącą, ale podkreślił, że późniejsze usunięcie naruszenia nie znosi odpowiedzialności za wcześniejszy, wieloletni stan niezgodności.
  11. Kara pieniężna: Organ nadzorczy stwierdził naruszenie art. 38 ust. 6 RODO i nałożył na spółkę administracyjną karę pieniężną w wysokości 11 365 zł. W uzasadnieniu wskazano, że naruszenie miało średni poziom, było długotrwałe i nosiło znamiona działania umyślnego. Na korzyść spółki uwzględniono jedynie to, że ostatecznie doprowadziła stan organizacyjny do zgodności z przepisami.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Rozdzielenie funkcji kontrolnych od funkcji zarządczych: Funkcja inspektora ochrony danych nie powinna być powierzana osobom, które realnie współdecydują o celach i sposobach przetwarzania danych. Dotyczy to w szczególności członków zarządu, dyrektorów oraz osób kierujących kluczowymi obszarami działalności. W praktyce należy przyjąć, że im większy wpływ danej osoby na decyzje organizacyjne, tym większe ryzyko konfliktu interesów.
  2. Przeprowadzanie rzetelnej, a nie formalnej analizy konfliktu interesów: Sama obecność dokumentu nazwanego „analizą” nie przesądza o zgodności z RODO. Ocena powinna uwzględniać rzeczywisty zakres kompetencji danej osoby, jej miejsce w strukturze organizacyjnej, zakres decyzyjności oraz to, czy w ramach innych obowiązków wpływa ona na procesy przetwarzania danych. Taka analiza powinna być obiektywna, udokumentowana i możliwa do obrony w razie kontroli.
  3. Unikanie sytuacji, w której kandydat na IOD ocenia samego siebie: Dokumenty dotyczące konfliktu interesów nie powinny być zatwierdzane przez osobę, której dotyczą. Jeżeli organizacja chce wykazać, że działała z należytą starannością, proces oceny powinien być prowadzony przez niezależny podmiot lub co najmniej przez osobę, która nie pozostaje w relacji zależności funkcjonalnej z kandydatem na IOD.
  4. Uwzględnianie wytycznych organów nadzorczych i orzecznictwa: Status IOD nie może być oceniany wyłącznie przez pryzmat własnej praktyki organizacji. Administrator powinien regularnie odnosić się do aktualnych wytycznych europejskich i krajowych oraz do orzecznictwa, które doprecyzowuje pojęcie konfliktu interesów. Pozwala to ograniczyć ryzyko przyjęcia zbyt swobodnej, wewnętrznej interpretacji przepisów.
  5. Wdrożenie wewnętrznych zasad określających stanowiska niekompatybilne z funkcją IOD: Dobrym rozwiązaniem jest stworzenie wewnętrznej listy stanowisk, których nie można łączyć z funkcją inspektora ochrony danych. Takie podejście porządkuje proces decyzyjny i ogranicza ryzyko, że organizacja będzie każdorazowo próbowała uzasadniać wyjątek tam, gdzie przepisy i praktyka nadzorcza wskazują na oczywisty konflikt.
  6. Zapewnienie IOD rzeczywistej niezależności organizacyjnej: Inspektor ochrony danych powinien mieć możliwość swobodnego wykonywania zadań, kierowania zaleceń, monitorowania zgodności i komunikowania ryzyk bez presji ze strony kierownictwa. Oznacza to nie tylko formalne wyznaczenie tej osoby, ale też takie umiejscowienie jej w strukturze, które eliminuje zależność od własnych decyzji operacyjnych lub strategicznych.
  7. Nieuznawanie ograniczeń finansowych za usprawiedliwienie niezgodności: Trudności budżetowe nie znoszą obowiązków wynikających z RODO. Jeżeli organizacja nie może bezpiecznie i zgodnie z prawem powierzyć funkcji IOD osobie wewnętrznej, powinna rozważyć model zewnętrzny albo zmianę podziału obowiązków. Argument ekonomiczny może tłumaczyć wybory organizacyjne, ale nie legalizuje konfliktu interesów.
  8. Regularny przegląd statusu IOD: Nawet jeżeli na moment wyznaczenia konflikt interesów nie występuje, sytuacja może zmienić się wraz z rozwojem organizacji, zmianą struktury lub rozszerzeniem obowiązków danej osoby. Dlatego status IOD powinien być okresowo weryfikowany, a nie oceniany wyłącznie jednorazowo.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO