12 listopada 2025

Prezes pełni funkcję IOD w Twojej firmie? PUODO potwierdza – to błąd i ryzyko kary

Prezes Urzędu Ochrony Danych Osobowych (PUODO) w niedawnej decyzji nałożył karę finansową na spółkę z branży medycznej. Powód? Funkcję Inspektora Ochrony Danych (IOD) pełnił w niej… prezes zarządu. PUODO uznał to za jednoznaczne naruszenie art. 38 ust. 6 RODO, wskazując na nieunikniony konflikt interesów.

Zadaniem Inspektora Ochrony Danych jest wspieranie administratora (w tym przypadku spółki) w przestrzeganiu przepisów o ochronie danych osobowych oraz, co kluczowe, niezależne monitorowanie tej zgodności.

Prezes zarządu (lub inny członek wyższego kierownictwa) z definicji ustala cele i sposoby przetwarzania danych. To on decyduje o strategii biznesowej, działaniach marketingowych czy wdrożeniu nowych systemów IT za pośrednictwem których przetwarzane są dane osobowe.

PUODO w decyzji DKN.5131.7.2025 potwierdził to, co eksperci podnosili od dawna:

  • nie można monitorować samego siebie – prezes, jako IOD, musiałby oceniać legalność i ryzyko działań, które sam zainicjował i za które biznesowo odpowiada;
  • niemożliwe jest raportowanie do samego siebie – z 38 ust. 3 RODO wynika wymóg, aby IOD podlegał bezpośrednio najwyższemu kierownictwu. Jeżeli to prezes zarządu pełni funkcję IOD, ten wymóg staje się w rzeczywistości fikcją.

Argumenty, które nie przekonały Prezesa UODO

Spółka w postępowaniu podnosiła argumenty, które mogą być bliskie wielu przedsiębiorcom. PUODO uznał je jednak za niezasadne.

Nie ma pieniędzy na IOD

Spółka twierdziła, że nie ma możliwości finansowych, aby zatrudnić zewnętrznego eksperta. Jednak stanowisko PUODO w tym zakresie jest stanowcze – obowiązki prawne nie są uzależnione od sytuacji finansowej administratora.

 

Decyzyjność vs. Konflikt interesów

Spółka twierdziła również, iż jej prezes mając najszerszą wiedzę na temat bieżących działań firmy jest najlepszym kandydatem na pełnienie funkcji IOD. Prezes Urzędu wskazał jednak, że ta wiedza i decyzyjność to właśnie źródło konfliktu, a nie jego rozwiązanie.

Czy branża medyczna może rządzić się swoimi prawami?

Spółka przekonywała, że w sektorze medycznym ochrona danych pacjentów jest tożsama z interesem spółki, więc cele prezesa i IOD są spójne. PUODO odrzucił tę logikę, wskazując, że IOD musi mieć możliwość informowania o problemach, nawet jeśli ich rozwiązanie jest dla zarządu „trudne i wydaje się kosztowne”.

 

Co ciekawe, naruszenie wykryto, gdy spółka sama zgłosiła do PUODO w ramach zupełnie innego incydentu (wydanie pacjentowi dokumentacji innej osoby).

 

Komentarz SDO Legal:

Decyzja DKN.5131.7.2025 to ważny i jasny sygnał dla rynku. Kara (ponad 11 tys. zł) może nie wydawać się dotkliwa, ale należy pamiętać, że RODO przewiduje sankcje sięgające 10 milionów euro lub 2% rocznego światowego obrotu.

Kluczowe wnioski dla Twojej firmy:

  1. Problem dotyczy nie tylko Prezesa. Ten sam konflikt interesów wystąpi w przypadku powierzenia funkcji IOD innemu członkowi wyższej kadry kierowniczej, który decyduje o celach i sposobach przetwarzania danych.
  2. Naruszenie uznano za umyślne. PUODO ustalił, że spółka miała świadomość obowiązków prawnych na niej ciążących, a mimo to świadomie utrzymywała wadliwą strukturę przez prawie 6 lat. To okoliczność obciążająca przy wymiarze kary.
  3. Działanie naprawcze miało znaczenie. Jedyną okolicznością łagodzącą, którą uwzględnił PUODO, był fakt, że spółka (już w trakcie postępowania) w końcu odwołała prezesa z funkcji IOD i powołała nowego, zewnętrznego inspektora .

Jeśli w Twojej organizacji IOD jest jednocześnie członkiem zarządu lub dyrektorem kluczowego działu, znajdujesz się w sytuacji permanentnego naruszenia RODO, które może zostać wykryte przy okazji dowolnej kontroli lub zgłoszenia incydentu.

Mam ten problem w firmie – co robić?

Jeżeli ta sytuacja dotyczy Twojej organizacji, należy podjąć natychmiastowe działania naprawcze:

  1. Przeprowadź analizę ryzyka – zweryfikuj, czy Twój obecny IOD nie pełni jednocześnie funkcji kierowniczych lub innych, które wiążą się z ustalaniem celów i sposobów przetwarzania danych.
  2. Dokonaj zmian korporacyjnych – jeżeli dochodzi do łączenia kluczowych funkcji zarządczych z pełnieniem funkcji IOD niezwłocznie odwołaj tę osobę z pełnienia tej funkcji.
  3. Powołaj nowego IOD – wybierz osobę gwarantującą brak konfliktu interesów. Może to być odpowiednio przeszkolony pracownik niższego szczebla (niepodejmujący decyzji o przetwarzaniu) lub – co jest rozwiązaniem bezpieczniejszym i rekomendowanym – skorzystaj z outsourcingu funkcji IOD do wyspecjalizowanego podmiotu zewnętrznego, np. kancelarii prawnej.
  4. Zgłoś zmianę do PUODO – pamiętaj, aby zawiadomić Prezesa UODO o wyznaczeniu nowego inspektora w terminie 14 dni od jego powołania.

Podjęcie tych kroków nie tylko usuwa stan naruszenia, ale, jak pokazuje omawiana decyzja, może być kluczową okolicznością łagodzącą w przypadku ewentualnej kontroli.

RODO

12 listopada 2025

Udostępnij:

Autorzy:

Paweł Tański

radca prawny / partner zarządzający

Klaudia Pudełko

asystent prawny

Zobacz również

30 kwietnia 2025

Wysłanie dokumentów pracownika na zły adres

RODO
Wszystkie z tej kategorii

Ustawienia Prywatności

Zdecyduj, które ciasteczka chcesz włączyć Możesz zmienić ustawienia w dowolnym momencie. Pamiętaj, że ograniczenie ciasteczek może zablokować korzystanie z niektórych funkcji. Aby uzyskać informacje na temat usuwania plików cookie, skorzystaj z funkcji pomocy w swojej przeglądarce. Dowiedz się więcej o używanych przez nas plikach cookie.

Za pomocą suwaka można włączać i wyłączać różne typy plików ciasteczek:

  • Zablokuj wszystkie
  • Elementy zasadnicze
  • Funkcjonalne
  • Analityczne
  • Reklamowe

Ta strona będzie:

  • Pamiętać, którą grupę plików cookie zaakceptowałeś

Ta strona internetowa nie będzie:

  • Zapamiętywać nazwę użytkownika i hasło
  • Istotne: Zapamięta ustawienia uprawnień dla ciasteczek
  • Istotne: Włączy ciasteczka sesyjne
  • Istotne: Odczyta informacje wprowadzone do formularzy kontaktowych
  • Istotne: Zapamięta produktu dodane do koszyka zakupowego
  • Istotne: Uwierzytelni czy jesteś zalogowany na konto użytkownika
  • Istotne: Zapamięta wybraną wersję językową
  • Funkcjonalne: Zapamiętywać ustawienia sieci społecznościowych
  • Funkcjonalne: Zapamiętywać wybrany kraj i region
  • Analityczne: Zapisywać informacje dotyczące odwiedzonych podstron i podjętych na nich działań
  • Analityczne: Zapisywać informacje dotyczące Twojego położenia i regionu na podstawie numeru IP
  • Analityczne: Zapisywać czas spędzony na poszczególnych podstronach
  • Analityczne: Zwiększać jakość danych statystycznych
  • Reklamowe: Dostosuje informacje reklamowe do Twoich zainteresowań na podstawie np. treści, którą odwiedziłeś wcześniej. (Obecnie nie używamy plików cookie służących do kierowania reklam)
  • Reklamowe: Zbierać danych osobowe, takich jak imię i nazwisko oraz lokalizacja

Ta strona będzie:

  • Essential: zapamiętaj ustawienie uprawnień do plików cookie
  • Essential: Zezwalaj na pliki cookie sesji
  • Niezbędne: zbieraj informacje, które wprowadzasz do formularza kontaktowego, biuletynu i innych formularzy na wszystkich stronach
  • Essential: Śledź, co wkładasz do koszyka
  • Essential: Uwierzytelnij się, że jesteś zalogowany na swoje konto użytkownika
  • Essential: Zapamiętaj wybraną wersję językową

Ta strona internetowa nie będzie:

  • Zapamiętaj swoje dane logowania
  • Funkcjonalność: Zapamiętaj ustawienia mediów społecznościowych
  • Funkcjonalność: Zapamiętaj wybrany region i kraj
  • Analytics: śledź odwiedzane strony i podejmowane interakcje
  • Analytics: śledź swoją lokalizację i region w oparciu o Twój numer IP
  • Analytics: Śledź czas spędzony na każdej stronie
  • Analytics: Zwiększ jakość danych funkcji statystycznych
  • Reklama: dostosuj informacje i reklamy do swoich zainteresowań na podstawie np. treść, którą odwiedziłeś wcześniej. (Obecnie nie używamy plików cookie służących do kierowania lub kierowania
  • Reklama: gromadzenie informacji umożliwiających identyfikację osoby, takich jak imię i nazwisko oraz lokalizacja

Ta strona będzie:

  • Essential: zapamiętaj ustawienie uprawnień do plików cookie
  • Essential: Zezwalaj na pliki cookie sesji
  • Niezbędne: zbieraj informacje, które wprowadzasz do formularza kontaktowego, biuletynu i innych formularzy na wszystkich stronach
  • Essential: Śledź, co wkładasz do koszyka
  • Essential: Uwierzytelnij się, że jesteś zalogowany na swoje konto użytkownika
  • Essential: Zapamiętaj wybraną wersję językową
  • Funkcjonalność: Zapamiętaj ustawienia mediów społecznościowych
  • Funkcjonalność: Zapamiętaj wybrany region i kraj

Ta strona internetowa nie będzie:

  • Zapamiętaj swoje dane logowania
  • Analytics: śledź odwiedzane strony i podejmowane interakcje
  • Analytics: śledź swoją lokalizację i region w oparciu o Twój numer IP
  • Analytics: Śledź czas spędzony na każdej stronie
  • Analytics: Zwiększ jakość danych funkcji statystycznych
  • Reklama: dostosuj informacje i reklamy do swoich zainteresowań na podstawie np. treść, którą odwiedziłeś wcześniej. (Obecnie nie używamy plików cookie służących do kierowania lub kierowania
  • Reklama: gromadzenie informacji umożliwiających identyfikację osoby, takich jak imię i nazwisko oraz lokalizacja

Ta strona będzie:

  • Essential: Remember your cookie permission setting
  • Essential: Allow session cookies
  • Essential: Gather information you input into a contact forms, newsletter and other forms across all pages
  • Essential: Keep track of what you input in a shopping cart
  • Essential: Authenticate that you are logged into your user account
  • Essential: Remember language version you selected
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions

Ta strona internetowa nie będzie:

  • Zapamiętaj swoje dane logowania
  • Reklama: wykorzystuj informacje do dostosowanej reklamy ze stronami trzecimi
  • Reklama: pozwala łączyć się z serwisami społecznościowymi
  • Reklama: Zidentyfikuj urządzenie, z którego korzystasz
  • Reklama: Zbierz dane osobowe, takie jak imię i nazwisko oraz lokalizację

Ta strona będzie:

  • Essential: Remember your cookie permission setting
  • Essential: Allow session cookies
  • Essential: Gather information you input into a contact forms, newsletter and other forms across all pages
  • Essential: Keep track of what you input in a shopping cart
  • Essential: Authenticate that you are logged into your user account
  • Essential: Remember language version you selected
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Use information for tailored advertising with third parties
  • Advertising: Allow you to connect to social sitesl Advertising: Identify device you are using
  • Advertising: Gather personally identifiable information such as name and location

Ta strona internetowa nie będzie:

  • Zapamiętaj dane logowania
Zapisz i zamknij