Stan faktyczny

Postępowanie zakończone wydaniem omawianej decyzji zostało wszczęte z urzędu i było następstwem zgłoszenia przez Pocztę Polską S.A. naruszenia ochrony danych osobowych, polegającego na uzyskaniu przez osobę nieuprawnioną dostępu do danych. W toku czynności wyjaśniających Prezes UODO rozszerzył zakres analizy na kwestie organizacyjne związane z funkcjonowaniem systemu ochrony danych w spółce, w tym na sposób wykonywania zadań przez inspektora ochrony danych.

Organ ustalił, że osoba wyznaczona na stanowisko IOD jednocześnie pełniła funkcję kierowniczą o charakterze władczym, bezpośrednio związaną z obszarem bezpieczeństwa informacji oraz procesami przetwarzania danych osobowych. W praktyce oznaczało to, że IOD nadzorował i oceniał zgodność z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO) działań, za które sam ponosił odpowiedzialność operacyjną i decyzyjną. Taki układ organizacyjny, zdaniem Organu, prowadził do oczywistego konfliktu interesów oraz uniemożliwiał wykonywanie zadań IOD w sposób niezależny i obiektywny.

Dodatkowo spółka nie była w stanie wykazać, że przeprowadziła jakąkolwiek sformalizowaną analizę konfliktu interesów w odniesieniu do zakresu obowiązków powierzonych IOD. W wewnętrznych aktach organizacyjnych brakowało także regulacji rozstrzygających, która z pełnionych funkcji ma pierwszeństwo w przypadku kolizji zadań, ani precyzyjnego określenia wymiaru czasu pracy przeznaczonego na realizację obowiązków inspektora.

Ochrona Danych Osobowych – Sprawdź aktualną listę szkoleń Sprawdź

Stan prawny

Podstawę prawną rozstrzygnięcia stanowiły w szczególności art. 37-39 RODO, ze szczególnym uwzględnieniem art. 38 ust. 3 RODO, który nakłada na administratora obowiązek zapewnienia, aby inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań, oraz aby nie był odwoływany ani karany za ich realizację. Przepis ten jest interpretowany w ścisłym związku z wymogiem unikania konfliktu interesów, który, choć nie został wprost zdefiniowany w RODO, wynika z funkcji IOD jako wewnętrznego, niezależnego mechanizmu kontroli zgodności przetwarzania danych z prawem.

Prezes UODO odwołał się również do utrwalonych wytycznych Grupy Roboczej art. 29 (obecnie Europejskiej Rady Ochrony Danych), zgodnie z którymi IOD nie powinien zajmować stanowisk prowadzących do określania celów i sposobów przetwarzania danych osobowych, a monitorowanie zgodności musi być organizacyjnie i funkcjonalnie oddzielone od działalności operacyjnej administratora.

Argumentacja Organu

Samo formalne powołanie inspektora oraz umiejscowienie go w strukturze organizacyjnej nie jest wystarczające, jeżeli rzeczywisty zakres jego kompetencji i obowiązków prowadzi do sytuacji, w której kontroluje on własne działania lub decyzje. Organ zwrócił uwagę na dwa wymiary konfliktu interesów: merytoryczny oraz czasowy. Pierwszy wynikał z połączenia funkcji decyzyjnych i kontrolnych w jednej osobie, drugi – z braku wykazania, że IOD dysponował realnie wystarczającym czasem na wykonywanie ustawowych zadań.

Istotne znaczenie dla wymiaru kary miała również okoliczność, że nie było to pierwsze naruszenie przepisów o ochronie danych osobowych stwierdzone wobec Poczty Polskiej S.A. Prezes UODO wskazał na wcześniejsze decyzje i upomnienia, które, jego zdaniem, świadczyły o istnieniu długotrwałych problemów systemowych w zakresie zgodności z RODO. Jednocześnie Organ uwzględnił jako okoliczność łagodzącą fakt, że w toku postępowania spółka dokonała zmian organizacyjnych, wyodrębniając funkcję IOD i zapewniając jej bezpośrednią podległość zarządowi.

Omawiana decyzja ma doniosłe znaczenie dla praktyki stosowania RODO, w szczególności w dużych organizacjach o rozbudowanej strukturze i silnej hierarchii decyzyjnej. Po pierwsze, jednoznacznie potwierdza, że konflikt interesów w przypadku IOD nie jest kategorią abstrakcyjną, lecz wymaga każdorazowej, udokumentowanej analizy w kontekście rzeczywistego zakresu obowiązków i kompetencji danej osoby. Brak takiej analizy może zostać uznany za samodzielne naruszenie obowiązków administratora.

Po drugie, decyzja pokazuje, że łączenie funkcji IOD z innymi stanowiskami kierowniczymi, nawet w obszarze szeroko rozumianego bezpieczeństwa informacji, wiąże się z istotnym ryzykiem prawnym. W praktyce oznacza to konieczność krytycznej rewizji modeli organizacyjnych, w których IOD jest jednocześnie dyrektorem departamentu IT, bezpieczeństwa lub compliance, jeżeli zakres tych funkcji obejmuje podejmowanie decyzji o celach i sposobach przetwarzania danych.

Po trzecie, decyzja wpisuje się w obserwowalne w praktyce organów nadzorczych podejście do niezależności IOD jako elementu systemowego zarządzania ryzykiem, a nie jedynie formalnego wymogu regulacyjnego. Dla administratorów danych oznacza to potrzebę nie tylko odpowiedniego umiejscowienia inspektora w strukturze, lecz także zapewnienia mu realnych zasobów czasu, wsparcia organizacyjnego oraz jasnego mandatu do działania bez nacisków operacyjnych.

Wreszcie, decyzja Prezesa UODO stanowi czytelny sygnał, że późniejsze działania naprawcze, choć mogą wpłynąć na obniżenie kary, nie eliminują odpowiedzialności za wcześniejsze naruszenia. Dla praktyki compliance oznacza to, że zapewnienie niezależności IOD powinno być traktowane jako element prewencyjny, wdrażany przed wystąpieniem incydentów i interwencji organu nadzorczego, a nie dopiero w reakcji na prowadzone postępowanie.

Decyzja PUODO z 2.1.2026 r., DKN.5131.4.2025

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Kup online, korzystaj od razu! Sprawdź

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →