Decyzja Prezesa UODO o nałożeniu na Pocztę Polską S.A. administracyjnej kary pieniężnej w wysokości 978 tys. zł za brak zapewnienia niezależności inspektora ochrony danych powinna wybrzmieć szeroko – nie tylko w środowisku compliance, ale przede wszystkim wśród zarządów i kadry kierowniczej dużych organizacji.
To nie jest sprawa „techniczna”. To sprawa ustrojowa w systemie ochrony danych osobowych.
IOD nie może nadzorować samego siebie
Sednem sprawy i kary dla Poczty był konflikt interesów. Funkcję IOD powierzono osobie zajmującej jednocześnie stanowisko kierownicze i merytoryczne w obszarach bezpośrednio związanych z przetwarzaniem danych osobowych. W praktyce oznaczało to, że ta sama osoba:
- współdecydowała o sposobach i celach przetwarzania danych,
- a następnie miała monitorować zgodność tych działań z RODO.
Z perspektywy RODO to sytuacja niedopuszczalna. IOD ma kontrolować, doradzać i monitorować, a nie być częścią łańcucha decyzyjnego, który sam podlega ocenie. Niezależność inspektora nie jest deklaracją – musi być realna, organizacyjna i funkcjonalna.
Brak analizy konfliktu interesów = poważne ryzyko regulacyjne
W toku postępowania okazało się, że spółka:
- nie przeprowadziła analizy konfliktu interesów,
- nie określiła pierwszeństwa roli IOD wobec innych obowiązków,
- nie zdefiniowała jasnego podziału zadań ani wymiaru czasu pracy przeznaczonego na wykonywanie funkcji IOD.
To szczególnie istotne, bo w wielu organizacjach nadal funkcjonuje błędne założenie, że „IOD może być przy okazji” – dyrektorem, menedżerem IT, bezpieczeństwa, compliance czy audytu. Tymczasem kumulacja ról bardzo często prowadzi do konfliktu nie tylko merytorycznego, ale i czasowego, co bezpośrednio wpływa na skuteczność wykonywania zadań inspektora.
Niezależność IOD to odpowiedzialność zarządu
Decyzja Prezesa UODO po raz kolejny przypomina, że odpowiedzialność za prawidłowe usytuowanie IOD w strukturze organizacyjnej spoczywa na administratorze danych, czyli w praktyce – na zarządzie.
To zarząd powinien umieć odpowiedzieć na pytania:
- Czy IOD raportuje bezpośrednio do najwyższego kierownictwa?
- Czy nie decyduje o procesach, które później ocenia?
- Czy ma realny wpływ, czas i zasoby?
- Czy konflikt interesów został formalnie przeanalizowany i udokumentowany?
W omawianej sprawie pozytywnie oceniono fakt, że spółka w toku postępowania dokonała zmian i wyodrębniła funkcję IOD, zapewniając mu bezpośrednią podległość zarządowi. Nie zmieniło to jednak faktu, że naruszenie już wystąpiło i miało charakter systemowy.
To nie był incydent – to był problem strukturalny
Warto zwrócić uwagę, że nie była to pierwsza interwencja Prezesa UODO wobec tego administratora. Organ nadzorczy wyraźnie wskazał na długotrwałe, nierozwiązane problemy systemowe w zakresie zgodności z RODO.
To ważny sygnał: brak niezależności IOD rzadko bywa jedynym problemem. Zwykle jest objawem głębszych nieprawidłowości w kulturze organizacyjnej, podejściu do ryzyka i rzeczywistym znaczeniu ochrony danych w organizacji.
Wnioski dla praktyki
Dla administratorów danych ta decyzja powinna być impulsem do refleksji, a najlepiej – do audytu:
- usytuowania IOD,
- zakresu jego obowiązków,
- potencjalnych konfliktów interesów,
- realnych warunków wykonywania funkcji.
Dla samych IOD to również ważny argument w rozmowach z zarządem. Niezależność nie jest „przywilejem inspektora”. Jest warunkiem skuteczności całego systemu ochrony danych osobowych.
Skontaktuj się z nami i zapewnij odpowiednie bezpieczeństwo Twojej firmie!
Źródło: www.uodo.gov.pl