Czy Prezes firmy może być Inspektorem Ochrony Danych?

Pytanie czy Prezes firmy może być Inspektorem Ochrony Danych (IOD) pojawia się regularnie w praktyce wielu przedsiębiorców. Wydaje się kuszące, aby funkcję tę powierzyć osobie z najwyższego kierownictwa, najlepiej znającej specyfikę działalności i odpowiedzialnej za strategiczne decyzje. Jednak stanowisko Urzędu Ochrony Danych Osobowych (UODO) jest jednoznaczne: Prezes firmy nie może być jednocześnie IOD, ponieważ prowadzi to do konfliktu interesów i narusza przepisy RODO.

Przykład z praktyki. Kara dla spółki medycznej

W 2023 roku jedna ze spółek medycznych zgłosiła do UODO incydent polegający na wydaniu pacjentowi dokumentów innej osoby. W trakcie analizy okazało się, że w spółce funkcję Inspektora Ochrony Danych pełnił… sam prezes zarządu.

Prezes UODO, Mirosław Wróblewski, uznał takie rozwiązanie za niezgodne z przepisami i nałożył na spółkę karę administracyjną w wysokości 11 365 zł.

Dlaczego? Ponieważ zgodnie z RODO Inspektor Ochrony Danych musi działać niezależnie od kierownictwa, tak aby mógł rzetelnie raportować o zagrożeniach i wskazywać administratorowi obszary wymagające poprawy.

Dlaczego Prezes nie może być IOD?

RODO (art. 38 ust. 6) dopuszcza łączenie roli IOD z innymi obowiązkami, ale tylko pod warunkiem, że nie powoduje to konfliktu interesów. A konflikt interesów powstaje zawsze wtedy, gdy ta sama osoba odpowiada jednocześnie za podejmowanie decyzji o sposobie przetwarzania danych oraz za kontrolowanie ich prawidłowości.

Prezes spółki:

• zarządza firmą i decyduje o procesach biznesowych,
• reprezentuje interesy spółki,
• podejmuje decyzje finansowe i organizacyjne.

IOD natomiast:

• pełni rolę nadzorczą wobec administratora danych,
• ma obowiązek wskazywać ryzyka i błędy, nawet jeśli są one niewygodne lub kosztowne dla firmy,
• wspiera administratora w zapewnieniu zgodności działań z RODO.

Połączenie tych dwóch ról w jednej osobie jest sprzeczne z zasadą niezależności i obiektywizmu, której wymaga RODO.

Błędna argumentacja spółki

Spółka medyczna argumentowała, że w jej przypadku interesy pacjentów oraz obowiązki prezesa są spójne, ponieważ obejmują ochronę tajemnicy lekarskiej i bezpieczeństwa danych medycznych. PUODO jednak wskazał, że takie podejście jest błędne. Nawet jeśli intencje są dobre, IOD musi mieć swobodę w ocenie sytuacji i raportowaniu o problemach, także tych, które wynikają z decyzji prezesa.

Konsekwencje dla przedsiębiorców

Decyzja PUODO jasno pokazuje, że Prezes firmy nie może być Inspektorem Ochrony Danych. W praktyce oznacza to, że:

• wybór IOD powinien paść na osobę niezależną od kierownictwa,
• IOD nie może zajmować stanowiska, które decyduje o celach i sposobach przetwarzania danych (np. członka zarządu, dyrektora IT, dyrektora HR),
• niewłaściwe powołanie IOD może skutkować nałożeniem kary finansowej,
• brak obiektywności IOD podważa cały system ochrony danych osobowych w firmie.

Podsumowanie

Odpowiedź na pytanie czy Prezes firmy może być Inspektorem Ochrony Danych jest jednoznaczna: nie, nie może. RODO wymaga, aby IOD był niezależny i wolny od konfliktu interesów. Decyzja PUODO oraz nałożona kara pokazują, że traktowanie tej funkcji jako formalności lub powierzanie jej członkom zarządu stanowi realne ryzyko prawne i finansowe.

Dlatego każdy przedsiębiorca powinien pamiętać: Inspektor Ochrony Danych musi mieć możliwość swobodnego, obiektywnego działania, tylko wtedy ochrona danych w firmie będzie skuteczna i zgodna z prawem.

| Redakcja BPPZ.pl

Przeczytaj także:

• RODO obowiązuje już sześć lat, ale wciąż sieje grozę
• Social media a ochrona danych – jakie są niebezpieczeństwa?
• Realizacja obowiązku informacyjnego nie musi być skomplikowana

Więcej na Blog BPPZ