Pytanie czy Prezes firmy może być Inspektorem Ochrony Danych (IOD) pojawia się regularnie w praktyce wielu przedsiębiorców. Wydaje się kuszące, aby funkcję tę powierzyć osobie z najwyższego kierownictwa, najlepiej znającej specyfikę działalności i odpowiedzialnej za strategiczne decyzje. Jednak stanowisko Urzędu Ochrony Danych Osobowych (UODO) jest jednoznaczne: Prezes firmy nie może być jednocześnie IOD, ponieważ prowadzi to do konfliktu interesów i narusza przepisy RODO.
Przykład z praktyki. Kara dla spółki medycznej
W 2023 roku jedna ze spółek medycznych zgłosiła do UODO incydent polegający na wydaniu pacjentowi dokumentów innej osoby. W trakcie analizy okazało się, że w spółce funkcję Inspektora Ochrony Danych pełnił… sam prezes zarządu.
Prezes UODO, Mirosław Wróblewski, uznał takie rozwiązanie za niezgodne z przepisami i nałożył na spółkę karę administracyjną w wysokości 11 365 zł.
Dlaczego? Ponieważ zgodnie z RODO Inspektor Ochrony Danych musi działać niezależnie od kierownictwa, tak aby mógł rzetelnie raportować o zagrożeniach i wskazywać administratorowi obszary wymagające poprawy.
Dlaczego Prezes nie może być IOD?
RODO (art. 38 ust. 6) dopuszcza łączenie roli IOD z innymi obowiązkami, ale tylko pod warunkiem, że nie powoduje to konfliktu interesów. A konflikt interesów powstaje zawsze wtedy, gdy ta sama osoba odpowiada jednocześnie za podejmowanie decyzji o sposobie przetwarzania danych oraz za kontrolowanie ich prawidłowości.
Prezes spółki:
- zarządza firmą i decyduje o procesach biznesowych,
- reprezentuje interesy spółki,
- podejmuje decyzje finansowe i organizacyjne.
IOD natomiast:
- pełni rolę nadzorczą wobec administratora danych,
- ma obowiązek wskazywać ryzyka i błędy, nawet jeśli są one niewygodne lub kosztowne dla firmy,
- wspiera administratora w zapewnieniu zgodności działań z RODO.
Połączenie tych dwóch ról w jednej osobie jest sprzeczne z zasadą niezależności i obiektywizmu, której wymaga RODO.
Błędna argumentacja spółki
Spółka medyczna argumentowała, że w jej przypadku interesy pacjentów oraz obowiązki prezesa są spójne, ponieważ obejmują ochronę tajemnicy lekarskiej i bezpieczeństwa danych medycznych. PUODO jednak wskazał, że takie podejście jest błędne. Nawet jeśli intencje są dobre, IOD musi mieć swobodę w ocenie sytuacji i raportowaniu o problemach, także tych, które wynikają z decyzji prezesa.
Konsekwencje dla przedsiębiorców
Decyzja PUODO jasno pokazuje, że Prezes firmy nie może być Inspektorem Ochrony Danych. W praktyce oznacza to, że:
- wybór IOD powinien paść na osobę niezależną od kierownictwa,
- IOD nie może zajmować stanowiska, które decyduje o celach i sposobach przetwarzania danych (np. członka zarządu, dyrektora IT, dyrektora HR),
- niewłaściwe powołanie IOD może skutkować nałożeniem kary finansowej,
- brak obiektywności IOD podważa cały system ochrony danych osobowych w firmie.
Podsumowanie
Odpowiedź na pytanie czy Prezes firmy może być Inspektorem Ochrony Danych jest jednoznaczna: nie, nie może. RODO wymaga, aby IOD był niezależny i wolny od konfliktu interesów. Decyzja PUODO oraz nałożona kara pokazują, że traktowanie tej funkcji jako formalności lub powierzanie jej członkom zarządu stanowi realne ryzyko prawne i finansowe.
Dlatego każdy przedsiębiorca powinien pamiętać: Inspektor Ochrony Danych musi mieć możliwość swobodnego, obiektywnego działania, tylko wtedy ochrona danych w firmie będzie skuteczna i zgodna z prawem.
| Redakcja BPPZ.pl
Przeczytaj także:
