Inspektor ochrony danych musi podlegać najwyższemu kierownictwu i nie może jednocześnie pełnić funkcji związanych z audytem IT czy bezpieczeństwem, aby uniknąć konfliktu interesów. Czy Twoja organizacja przestrzega tych zasad? 

18 grudnia 2024 r. Prezes UODO wydał decyzję administracyjną w sprawie DKN.5112.14.2022, w której stwierdził m.in. naruszenie przez administratora art. 38 ust. 3 RODO. Polegało ono na braku zapewnienia przez administratora: 

  • by inspektor ochrony danych podlegał bezpośrednio najwyższemu kierownictwu administratora oraz  
  • by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań.  

Za to naruszenie Prezes UODO nałożył administracyjną karę pieniężną w wysokości 261.918 zł. 

Decyzja ta podkreśla znaczenie kluczowych obowiązków administratorów danych w zakresie zapewnienia niezależności i odpowiednich warunków pracy dla IOD. Zgodnie z art. 38 ust. 3 RODO, administrator danych ma obowiązek zapewnić, aby IOD nie otrzymywał instrukcji dotyczących wykonywania swoich zadań oraz podlegał bezpośrednio najwyższemu kierownictwu administratora. W analizowanej sprawie stwierdzono naruszenie tego przepisu, ponieważ IOD nie podlegał bezpośrednio zarządowi spółki, co mogło ograniczać jego niezależność i skuteczność działania. IOD w trakcie zatrudnienia u administratora zajmował jednocześnie stanowisko audytora IT lub specjalisty ds. bezpieczeństwa i podlegał bezpośrednio dyrektorowi departamentu bezpieczeństwa. 

Decyzja ta uwidacznia konieczność odpowiedniego umiejscowienia IOD w strukturze organizacyjnej firmy. Bezpośrednie podleganie najwyższemu kierownictwu zapewnia IOD niezależność i możliwość skutecznego monitorowania zgodności działań firmy zgodnie z przepisami o ochronie danych. Zadaniem administratora jest również zapewnienie, że IOD nie będzie otrzymywał instrukcji dotyczących wykonywania swoich obowiązków. 

W związku z omawianą decyzją Prezesa UODO, każdy podmiot, w którym powołano IOD, powinien podjąć następujące działania: 

  • zweryfikować, a w razie takiej konieczności skorygować, umiejscowienie IOD w strukturze organizacyjnej; 
  • zweryfikować, czy IOD wykonuje dodatkowo zadania, które mogłyby powodować konflikt interesów; 
  • dostosować procedury wewnętrzne pod kątem zasad funkcjonowania IOD i ich zgodności ze stanowiskami UODO; 
  • podjąć działania naprawcze w razie wykrycia działań niezgodnych art. 38 ust. 3 RODO, aby uniknąć kar finansowych.