Czy IOD może decydować o przetwarzaniu danych osobowych przez administratora?

A skoro niedawno było o tym, że operator pocztowy nie jest administratorem danych osobowych zawartych w przesyłanych dokumentach, dziś czas na kilka zdań o tym, że brak niezależności inspektora ochrony danych osobowych — na przykład sytuacja, w której administrator podejmuje decyzje związane z przetwarzaniem danych osobowych — oznacza konflikt interesów — i karę za naruszenie RODO (nieprawomocna decyzja Prezesa Urzędu Ochrony Danych Osobowych DKN.5131.4.2025 z 2 stycznia 2026 r.).


Wielka Fatra
Bardzo dawno temu i nieprawda (fot. Olgierd Rudak, CC BY-SA 4.0)

opis stanu faktycznego:

  • sprawa zaczęła się od wysłania przez spółkę do PUODO zgłoszenia naruszenia ochrony danych osobowych w postaci nieuprawnionego dostępu do informacji podatkowej PIT-11;
  • z przesłanej dokumentacji wynikało, że spółka wyznaczyła inspektora ochrony danych, a także udzieliła mu pełnomocnictwa do reprezentowania spółki we wszystkich postępowaniach prowadzonych przez PUODO, a także do udzielania osobom odpowiedzi na żądania…
  • …ale PUODO dostrzegł też, iż wprawdzie inspektor ochrony danych podlegał bezpośrednio zarządowi, ale pełnił także funkcję dyrektora (zanonimizowanego, został tylko inicjał „V.”) w spółce, a w jego gestii leżała część spraw związana z przetwarzaniem danych osobowych, co mogło skutkować konfliktem interesów i brakiem niezależności IOD;
  • (nie trzeba było szukać okruszków, żeby wpaść na to, że tą spółką jest Poczta Polska S.A.);

pogląd administratora:

art. 39 ust. 1 RODO
Inspektor ochrony danych ma następujące zadania:
a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
d) współpraca z organem nadzorczym;
e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.


art. 38 ust. 3 i 6 RODO
3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

  • co więcej „unia personalna” ABI i dyrektora istniała w PP jeszcze pod rządami poprzedniej ustawy i nigdy nie budziła wątpliwości, albowiem rzeczony dyrektor nie miał wpływu na określenie celów i sposobów przetwarzania danych osobowych przez operatora, zaś jako inspektor ochrony danych osobowych nie otrzymywał żadnych poleceń dotyczących jego zadań, co w sumie wyklucza zarzut braku niezależności i ryzyko konfliktu interesów;
  • jednakże w tzw. międzyczasie zarząd spółki rozdzielił te stanowiska, o czym poinformował PUODO;

decyzja PUODO:

  • inspektor ochrony danych osobowych musi podlegać najwyższemu kierownictwu administratora, nie może otrzymywać nikogo instrukcji dotyczących sposobu wykonywanych zadań i nie wolno go karać za ich wykonywanie; obowiązki IOD można sprowadzić do doradzania i monitorowania zgodności z RODO, przy czym może on mieć wyznaczane inne obowiązki, pod warunkiem jednak, że nie prowadzi to do kolizji interesów (por. wyrok TSUE z 9 lutego 2023 r. w/s X‑FAB Dresden, C-453/21);
  • w szczególności inspektor ochrony danych nie może zastępować administratora w obszarach związanych z przetwarzaniem danych osobowych, np. nie może decydować o celach i sposobach przetwarzania (definicyjnie jest to rola administratora), zgłaszać naruszeń i zawiadamiać zainteresowanych osób o naruszeniach, etc.,etc.;
  • (tłumacząc z prawniczego na ludzkie: IOD nie może ani decydować o przetwarzaniu danych osobowych, ani nawet formułować polityki prywatności czy treści klauzul informacyjnych — może i powinien je sprawdzać, wyjaśniać, szkolić — bo prowadzi to do sytuacji, w której oceniałby własną robotę);
  • konsekwencją „unii personalnej” — sytuacji, w której IOD kontroluje własną pracę — jest rażący brak niezależności inspektora ochrony danych, bo tak należy postrzegać sytuację, w której ta sama osoba najsamprzód podejmuje określone decyzje, za które jest wynagradzana, aby następnie monitorować ich konsekwencje z punktu widzenia RODO;

art. 83 ust. 4 RODO
Naruszenia przepisów dotyczących następujących kwesti podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:
a) obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43;

  • nie ma przy tym znaczenia, że zgodnie ze strukturą organizacyjną dyrektor nie odpowiadał za zaledwie część procesów przetwarzania danych osobowych przez Pocztę Polską: tak czy inaczej obszar ten wchodził w zakres działalności administratora, co oznacza, że IOD wypełniał zadania należące do administratora
  • …a przecież inspektor ochrony danych sprawujący de facto nadzór nad własną działalnością to konflikt interesów, zakazany na mocy art. 38 ust. 6 RODO;
  • zaś potwierdzeniem słuszności zarzutów jest także fakt, iż spółka udzieliła inspektorowi-dyrektorowi pełnomocnictwa do jej reprezentowania przed PUODO w sprawach związanych z przetwarzaniem danych osobowych, w tym udzielania informacji i odpowiedzi na żądania zainteresowanych osób.

Biorąc pod uwagę taką wykładnię organ nałożył na Pocztę Polską karę za naruszenie przepisów o niezależności IOD w wysokości 978 tys. zł (tj. 232 tys. €).

Ku pamięci:

  • inspektor ochrony danych nie decyduje o przetwarzaniu danych osobowych — to są wyłączne kompetencje administratora;
  • IOD nie może więc np. pisać polityki prywatności, formularzy do zbierania danych, nie może zawiadamiać PUODO o incydentach i udzielać odpowiedzi np. w/s żądania usunięcia danych lub prawa dostępu do danych;
  • IOD może wykonywać na rzecz administratora inną pracę — jednak nigdy w zakresie, w którym byłoby to sprzeczne z istotą roli IOD… czyli w sumie może być kierowcą, zaopatrzeniowcem, może księgowym (ale czy głównym księgowym?).

Dla dużych korporacji to tylko problem organizacyjny, ale punktu widzenia niewielkich struktur…

subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

14 komentarzy
Oldest
Newest
14
0
komentarze są tam :-)x