Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/7

Kraj:

Polska

Data wydania decyzji:

02.01.2026 r.

Podmiot kontrolowany:

Poczta Polska S.A.

Wysokość kary (EUR):

232.378

Podstawa prawna naruszenia

Art. 38 ust. 3, art. 38 ust. 6 RODO.

Nieprzestrzeganie zasad związanych z powołaniem IOD.

 

Przyczyna naruszenia

Poczta Polska S.A. nie zapewniła rzeczywistej i udokumentowanej niezależności Inspektora Ochrony Danych, powierzając mu jednocześnie inne obowiązki o charakterze kierowniczym i organizacyjnym, bez przeprowadzenia oraz udokumentowania analizy konfliktu interesów. W efekcie funkcja IOD była wykonywana w warunkach mogących podważać jej obiektywność i skuteczność.

 

Opis wydarzeń

  1. Zidentyfikowanie incydentu naruszenia ochrony danych osobowych: Poczta Polska S.A. stwierdziła naruszenie polegające na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych zawartych w informacjach PIT-11. Naruszenie dotyczyło danych pracowniczych, a jego charakter wskazywał na ryzyko naruszenia praw i wolności osób fizycznych.

  2. Zgłoszenie naruszenia do organu nadzorczego: Administrator dokonał zgłoszenia naruszenia do Prezesa UODO. W ramach analizy zgłoszenia organ nadzorczy nie ograniczył się wyłącznie do samego incydentu, lecz zbadał również systemowe aspekty organizacji ochrony danych u administratora.

  3. Analiza organizacji funkcji Inspektora Ochrony Danych: W toku postępowania ustalono, że inspektor ochrony danych był jednocześnie obciążony innymi obowiązkami o charakterze organizacyjnym i kierowniczym w strukturze administratora. Zakres tych zadań mógł prowadzić do sytuacji, w której IOD oceniał procesy, za które sam pośrednio odpowiadał.

  4. Brak formalnej analizy konfliktu interesów: Administrator nie przedstawił dokumentów potwierdzających przeprowadzenie analizy konfliktu interesów przed powołaniem IOD ani w trakcie pełnienia przez niego dodatkowych funkcji. Nie wykazano również, aby taka analiza była okresowo aktualizowana.

  5. Deklaratywne, a nie realne zapewnienie niezależności IOD: Administrator wskazywał, że IOD nie otrzymywał instrukcji dotyczących wykonywania swoich zadań oraz miał zapewniony dostęp do najwyższego kierownictwa. Prezes UODO uznał jednak, że same deklaracje nie są wystarczające, jeżeli struktura organizacyjna i zakres obowiązków obiektywnie mogą prowadzić do konfliktu interesów.

  6. Brak wewnętrznych regulacji określających rolę IOD: Nie wdrożono wewnętrznych procedur ani regulaminów, które jasno określałyby pozycję IOD w strukturze organizacyjnej, pierwszeństwo wykonywania zadań wynikających z art. 39 RODO oraz sposób postępowania w przypadku kolizji obowiązków.

  7. Ocena naruszenia zasady rozliczalności: Organ nadzorczy podkreślił, że na administratorze spoczywa obowiązek nie tylko zapewnienia zgodności z RODO, ale również możliwości jej wykazania. Brak dokumentacji i analiz został uznany za naruszenie zasady rozliczalności, niezależnie od faktycznych intencji administratora.

  8. Stwierdzenie naruszenia przepisów RODO: Prezes UODO stwierdził naruszenie art. 38 ust. 3 i 6 RODO, wskazując, że połączenie funkcji IOD z innymi zadaniami w badanym przypadku podważało niezależność tej funkcji oraz mogło ograniczać skuteczność nadzoru nad zgodnością przetwarzania danych osobowych.

  9. Nałożenie administracyjnej kary pieniężnej: Uwzględniając charakter naruszenia, jego systemowy wymiar oraz rolę IOD w strukturze ochrony danych, Prezes UODO nałożył na administratora administracyjną karę pieniężną w wysokości 978 128 zł, podkreślając prewencyjny i edukacyjny charakter sankcji.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zapewnienie faktycznej niezależności IOD: Funkcja inspektora ochrony danych powinna być wyraźnie oddzielona od ról operacyjnych, decyzyjnych i kierowniczych związanych z przetwarzaniem danych osobowych.

  2. Przeprowadzanie i dokumentowanie analizy konfliktu interesów: Przed powołaniem IOD oraz przy każdej zmianie zakresu obowiązków należy sporządzić formalną analizę ryzyka konfliktu interesów.

  3. Uregulowanie roli IOD w dokumentacji wewnętrznej: Zalecane jest wdrożenie regulaminu funkcjonowania IOD, który jasno określa jego pozycję organizacyjną, zakres odpowiedzialności oraz pierwszeństwo wykonywania zadań wynikających z RODO.

  4. Regularne audyty zgodności: Należy cyklicznie weryfikować, czy sposób wykonywania funkcji IOD spełnia wymogi art. 38 RODO oraz wytyczne EROD.

  5. Szkolenia dla kadry zarządzającej: Zarząd i kadra kierownicza powinni być szkoleni w zakresie roli IOD oraz konsekwencji organizacyjnych i finansowych wynikających z jej nieprawidłowego umiejscowienia.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO