Prezes zarządu nie może być jednocześnie Inspektorem Ochrony Danych – kara dla spółki medycznej

Urząd Ochrony Danych Osobowych (UODO) poinformował o nałożeniu administracyjnej kary pieniężnej w wysokości 11 365 zł na spółkę z branży medycznej, która przez blisko sześć lat dopuszczała, aby prezes zarządu pełnił jednocześnie funkcję Inspektora Ochrony Danych (IOD).

Dlaczego to naruszenie RODO?

Zgodnie z art. 38 ust. 6 RODO inspektor ochrony danych może wykonywać inne zadania i obowiązki wyłącznie wtedy, gdy nie prowadzi to do konfliktu interesów. Rola IOD wymaga pełnej niezależności, aby mógł on obiektywnie oceniać działania administratora danych, sygnalizować ryzyka i rekomendować usprawnienia.

Prezes zarządu, jako osoba odpowiedzialna za strategiczne decyzje i kierowanie organizacją, nie jest w stanie wykonywać obowiązków IOD w sposób bezstronny. Taka kumulacja funkcji pozbawia mechanizmy kontroli wewnętrznej ich efektywności i stwarza ryzyko naruszenia praw osób, których dane dotyczą.

Jak doszło do postępowania?

Sprawa została ujawniona po incydencie zgłoszonym do UODO w 2023 roku – pacjent otrzymał dokumentację medyczną innej osoby. W trakcie analizy incydentu organ nadzorczy ustalił, że w spółce funkcję IOD pełni prezes zarządu.

W toku postępowania administrator danych argumentował, że w przypadku działalności medycznej interesy pacjentów, ochrona tajemnicy lekarskiej oraz działania zarządu są spójne, a powierzenie funkcji IOD prezesowi gwarantuje najwyższy poziom bezpieczeństwa. PUODO odrzucił tę argumentację, wskazując, że jest to błędna interpretacja przepisów.

Stanowisko UODO

Prezes UODO, Mirosław Wróblewski, podkreślił w decyzji, że IOD musi być niezależny od kierownictwa, aby mógł rzetelnie raportować o zagrożeniach i nieprawidłowościach. Konflikt interesów oznacza sytuację, w której określone okoliczności mogą negatywnie wpływać na bezstronne wykonywanie obowiązków – w tym przypadku łączenie funkcji prezesa zarządu i IOD jednoznacznie taki konflikt powoduje. Niezależność IOD jest fundamentem skutecznej ochrony danych osobowych i zapewnienia zgodności procesów z RODO.

Wnioski dla administratorów danych

Decyzja UODO stanowi jasny sygnał dla wszystkich organizacji – powołanie na stanowisko inspektora ochrony danych osoby zarządzającej przedsiębiorstwem narusza podstawowe zasady RODO i naraża administratora na odpowiedzialność finansową.

IOD nie może być podmiotem, który samodzielnie decyduje o sposobie przetwarzania danych i jednocześnie ma pełnić funkcję kontrolną. Wybór odpowiedniej, niezależnej osoby na to stanowisko jest kluczowym elementem systemu ochrony danych osobowych w każdej organizacji.

Pełna treść decyzji Prezesa UODO (DKN.5131.7.2025) dostępna jest w serwisie orzeczeń: orzeczenia.uodo.gov.pl.

Copyright @2024. All Rights Reserved.