Prezes firmy nie może być jednocześnie IOD. Kara dla spółki Specer

Przez prawie sześć lat prezes zarządu spółki medycznej pełnił jednocześnie funkcję Inspektora Ochrony Danych (IOD). Jest to rozwiązanie sprzeczne z RODO, bo nie daje gwarancji, że obowiązki związane z ochroną danych osobowych w organizacji będą wykonywane w sposób niezależny i obiektywny.

Stwierdziwszy to naruszenie prezes UODO Mirosław Wróblewski nałożył na spółkę karę w wysokości 11 tys. 365zł.

Spółka, której działalność skoncentrowana jest na udzielaniu świadczeń i usług medycznych, zgłosiła w 2023 r. do PUODO incydent z danymi: pacjentowi wydano dokumenty innej osoby. Ze zgłoszenia wynikało, że w spółce funkcję IOD pełni prezes zarządu.

PUODO wszczął więc postępowanie administracyjne, aby wyjaśnić, jak do tego doszło.

Okazało się że spółka – administrator danych – miała świadomość, że IOD musi być niezależny od władz spółki, by móc jej raportować o zagrożeniach. Spółka uznała jednak, że pełnienie tej funkcji przez samego prezesa zarządu tej niezależności nie zagraża cyt. „obecne rozwiązanie uważamy za optymalne, gwarantujące najlepszą opiekę merytoryczną osób, których dane dotyczą, spółki jako administratora oraz IOD-a”.

Zdaniem PUODO spółka powołała się na indywidualną, błędną wykładnie art. 38 ust. 6 RODO i przez to wyciągnęła niewłaściwe wnioski. Uznała bowiem, że skoro prowadzi działalność objętą tajemnicą lekarską, to nie można mówić o konflikcie interesów między zarządem a IOD. Bowiem ochrona dokumentacji medycznej pacjentów i ochrona ich danych są po prostu jedną z najważniejszych obowiązków spółki, a realizuje je prezes.

Jak wynika z przedstawionych przez administratora wyjaśnień - „o ile zatem w spółkach prowadzących działalność w innych sektorach interesy prezesa zarządu mogą być niekompatybilne z interesami podmiotów danych, których to interesów ma strzec IOD, o tyle w przypadku [spółki] te interesy są spójne, a realizacja zadań z obszaru ochrony tajemnicy lekarskiej oraz informacji o pacjentach realizowana przez prezesa nie wyklucza skutecznej realizacji zadań z obszaru ochrony danych osobowych, a wręcz oba te obszary wzajemnie uzupełniają się”.

Zdaniem PUODO to błędne rozumowanie: spółka może dbać organizacyjnie i technicznie o bezpieczeństwo danych osobowych tylko wtedy, gdy niezależny od kierownictwa IOD może informować je o problemach i wskazywać, co i jak należy poprawić, nawet jeśli jest to trudne i wydaje się kosztowne.

PUODO wskazał w decyzji, że inspektor ochrony danych to osoba, która ma wspierać administratora i podmiot przetwarzający w zapewnieniu zgodności przetwarzania i ochrony danych z przepisami o ochronie danych osobowych.

W związku z tym RODO wyraźnie stwierdza, ze inspektor ochrony danych może wykonywać inne zadania i obowiązki tylko w sytuacji, gdy nie powodują one konfliktu interesów.

Konflikt interesów to sytuacja, w której istnieje obawa negatywnego wpływu określonych okoliczności na bezstronne oraz bezinteresowne wykonywanie obowiązków służbowych. Prezes spółki nie może w taki sposób wykonywać obowiązków IOD.

Wypowiedź Karola Witowskiego, rzecznika prasowego UODO

Treść decyzji Prezesa UODO DKN.5131.7.2025 oraz inne orzeczenia dostępne są na stronie https://orzeczenia.uodo.gov.pl/