Blog prawniczy

Kara za brak skutecznego wyznaczenia IOD – analiza decyzji PUODO z 18 października 2024 r.

⟨⟨ Powrót

Prezes Urzędu Ochrony Danych Osobowych w decyzji z 18 października 2024 r. (DKN.5131.7.2024) nałożył na jednostkę administracji publicznej karę pieniężną w wysokości 25 000 złotych za wieloletnie naruszenie przepisów RODO dotyczących obowiązku wyznaczenia Inspektora Ochrony Danych. Rozstrzygnięcie to ma ważne znaczenie dla interpretacji przepisów o obowiązku powołania IOD i konsekwencji zaniedbań w tym zakresie.

Przebieg postępowania

Sprawa rozpoczęła się od anonimowego zawiadomienia, które wpłynęło do UODO 13 lutego 2024 r. Sygnalista wskazał na nieprawidłowości w zakresie przestrzegania przepisów o ochronie danych osobowych, w szczególności brak Inspektora Ochrony Danych w kontrolowanej jednostce. W toku postępowania wyjaśniającego organ ustalił, że administrator nie tylko nie wyznaczył prawidłowo IOD, ale także próbował przedstawić nieformalne ustalenia jako właściwe wykonanie tego obowiązku.

Podmiot publiczny twierdził, że funkcję IOD pełniły kolejno dwie pracownice. Jednak nie był w stanie przedstawić żadnych formalnych dokumentów potwierdzających ich powołanie. Przedstawione przez administratora dokumenty, takie jak zakresy obowiązków czy wewnętrzne regulaminy, nie zawierały jednoznacznych zapisów o powierzeniu funkcji IOD.

Sprawdź również: Outsourcing funkcji IOD do naszej kancelarii – czy sprawdzi się w Twojej firmie?

Kluczowe ustalenia organu

Prezes Urzędu Ochrony Danych Osobowych stwierdził dwa zasadnicze naruszenia przepisów RODO:

  1. Naruszenie art. 37 ust. 1 lit. a RODO poprzez brak wyznaczenia Inspektora Ochrony Danych w okresie od 25 maja 2018 r. do 4 marca 2024 r.
  2. Naruszenie art. 37 ust. 7 RODO poprzez:
    1. Brak zawiadomienia organu nadzorczego o wyznaczeniu IOD (do 5 marca 2024 r.)
    2. Brak publikacji danych kontaktowych IOD (naruszenie trwające nadal w momencie wydania decyzji)

Szczegółowa argumentacja prawna

Organ przedstawił kompleksową analizę prawną, wskazując na kilka kluczowych aspektów.

PUODO podkreślił, że obowiązek wyznaczenia IOD przez podmioty publiczne ma charakter bezwzględny, wynikający wprost z art. 37 ust. 1 lit. a RODO w związku z art. 9 ustawy o ochronie danych osobowych. Nie ma od niego wyjątków ani możliwości zastosowania rozwiązań alternatywnych.

Organ szczegółowo omówił wymogi formalne dotyczące prawidłowego wyznaczenia IOD. Wskazał, że konieczne jest:

  • wydanie formalnego aktu powołania (zarządzenie, umowa, uchwała)
  • jednoznaczne określenie osoby pełniącej funkcję IOD
  • precyzyjne określenie zakresu zadań zgodnie z art. 38 i 39 RODO
  • zapewnienie niezależności w wykonywaniu funkcji
  • bezpośredni dostęp do najwyższego kierownictwa

PUODO uznał naruszenie za systemowe, wskazując że brak IOD uniemożliwia prawidłowe funkcjonowanie systemu ochrony danych osobowych w organizacji. Dodatkowo naruszenie dotyczy potencjalnie wszystkich procesów przetwarzania danych w jednostce i wpływa na możliwość realizacji praw osób, których dane dotyczą. Na koniec PUODO wskazał, że brak wyznaczenia Inspektora Ochrony Danych (IOD) osłabia mechanizmy nadzoru i kontroli wewnętrznej.

Okoliczności wpływające na wymiar kary

Organ szczegółowo przeanalizował okoliczności wpływające na wymiar kary. Do głównych okoliczności obciążających zaliczono:

  • umyślny charakter naruszenia,
  • długi czas trwania naruszenia (prawie 6 lat),
  • szeroki krąg osób potencjalnie dotkniętych naruszeniem,
  • brak współpracy z organem nadzorczym,
  • próby wprowadzenia organu w błąd.

Organ nie stwierdził okoliczności łagodzących, wskazując że odjęte działania naprawcze nastąpiły dopiero po wszczęciu postępowania. W tym wypadku brak wcześniejszych naruszeń nie stanowił okoliczności łagodzącej gdyż administrator nie wykazał szczególnych trudności w realizacji obowiązku.

Praktyczne znaczenie decyzji

Omawiana decyzja PUODO ma doniosłe znaczenie praktyczne dla wszystkich podmiotów zobowiązanych do wyznaczenia Inspektora Ochrony Danych. Przede wszystkim organ nadzorczy jasno wskazał, że sama świadomość obowiązku wyznaczenia IOD i podejmowanie nieformalnych działań w tym zakresie nie jest wystarczające. Konieczne jest formalne i precyzyjne określenie statusu Inspektora w strukturze organizacyjnej poprzez odpowiednie dokumenty – zarządzenie o powołaniu, szczegółowy zakres obowiązków czy też aneks do umowy o pracę.

Organ stanowczo odrzucił argumentację administratora o nieformalnym przekazywaniu obowiązków IOD między pracownikami czy też ustnym powierzaniu tej funkcji. Takie prowizoryczne rozwiązania nie mogą zastąpić właściwego umocowania Inspektora w organizacji. PUODO podkreślił, że skuteczne wyznaczenie IOD wymaga nie tylko formalnego aktu powołania, ale także jasnego określenia jego pozycji, zapewnienia niezależności i bezpośredniego dostępu do kierownictwa.

Wysokość nałożonej kary – 25 000 złotych – pokazuje, że organ nadzorczy traktuje te obowiązki z najwyższą powagą. Jest to wyraźny sygnał, że nieprawidłowości w zakresie wyznaczenia IOD nie będą traktowane pobłażliwie, nawet jeśli administrator podejmował jakieś działania w tym kierunku. Kara ta ma także walor prewencyjny – ma zniechęcać innych administratorów do przyjmowania połowicznych czy tymczasowych rozwiązań w tak ważnej kwestii.

Decyzja wyznacza również jasne standardy dotyczące dokumentowania faktu wyznaczenia IOD. Administrator musi być w stanie przedstawić komplet dokumentów potwierdzających nie tylko sam fakt powołania Inspektora, ale także określających jego zadania, pozycję w organizacji i gwarancje niezależności. Organ oczekuje kompleksowego i profesjonalnego podejścia do tej kwestii.

Omawiane rozstrzygnięcie stanowi zatem wyraźny sygnał dla sektora publicznego – ochrona danych osobowych wymaga pełnej profesjonalizacji i nie może opierać się na rozwiązaniach tymczasowych czy nieformalnych. Konieczne jest systemowe podejście, w którym prawidłowe wyznaczenie IOD stanowi fundament dla całego systemu ochrony danych w organizacji. Administrator musi zapewnić Inspektorowi nie tylko właściwe umocowanie formalne, ale także realne warunki do wykonywania jego zadań, w tym odpowiednie zasoby i niezależność. Tylko takie kompleksowe podejście pozwoli na skuteczną realizację obowiązków wynikających z przepisów o ochronie danych osobowych.

Komentarz radcy prawnego

Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY | PARTNER

Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora komentarza?
e-mail: sekretariat@linkekulicki.pl
tel. +48 789 178 462

Opublikowano:

Decyzja Prezesa Urzędu Ochrony Danych Osobowych dotycząca nałożenia kary 25 000 zł za brak wyznaczenia Inspektora Ochrony Danych (IOD) w jednostce administracji publicznej podkreśla bezwzględny charakter tego obowiązku. Sprawa ta jest istotnym przypomnieniem dla wszystkich administratorów danych osobowych o konieczności przestrzegania przepisów RODO, szczególnie w zakresie formalnego powołania IOD oraz dokumentowania podjętych działań.

Decyzja ta pokazuje, że PUODO poważnie traktuje naruszenia w tym zakresie. Przykład naruszenia wynikającej z decyzji uzupełnia inne często spotykane przeze mnie naruszenia w zakresie powołania i pełnienia obowiązków przez Inspektorów Ochrony Danych. Do takich przykładów należy np.:

  1. Konflikt interesów wynikający z równoczesnego pełnienia innych funkcji:

W niektórych przypadkach administratorzy wyznaczają na IOD osobę, która nie posiada odpowiedniej wiedzy i doświadczenia w zakresie ochrony danych osobowych. Przykładem może być sytuacja, gdy osoba pełniąca tę funkcję nie zna przepisów RODO ani nie uczestniczy w szkoleniach doskonalących. Może to prowadzić do poważnych naruszeń w zakresie nadzoru nad przetwarzaniem danych.

  1. Konflikt interesów wynikający z równoczesnego pełnienia innych funkcji:

Innym przykładem naruszenia może być powołanie osoby na stanowisko IOD, która jednocześnie zarządza działem IT, HR lub innym działem odpowiedzialnym za przetwarzanie danych. Takie rozwiązanie narusza zasadę niezależności IOD określoną w art. 38 ust. 6 RODO i podważa skuteczność sprawowanego nadzoru.

  1. Nieudokumentowanie powołania IOD w strukturze organizacyjnej:

Przykładem naruszenia jest sytuacja, w której powołanie IOD zostało jedynie ustnie uzgodnione, bez wydania formalnego aktu prawnego, takiego jak zarządzenie, uchwała zarządu czy umowa. Brak jednoznacznego określenia funkcji i zakresu odpowiedzialności prowadzi do niejasności i ryzyka nieprawidłowego wykonywania obowiązków wynikających z przepisów RODO.

Znaczenie formalności i dokumentacji

Decyzja PUODO jasno wskazuje, że formalne powołanie IOD nie jest jedynie wymogiem proceduralnym, lecz podstawą funkcjonowania systemu ochrony danych osobowych w organizacji. Administratorzy muszą zadbać o formalne akty powołania, jasne określenie zadań i obowiązków IOD, gwarancję jego niezależności oraz zapewnienie zasobów niezbędnych do prawidłowego wykonywania funkcji.

Z perspektywy praktycznej administratorzy powinni również pamiętać, że naruszenia dotyczące braku wyznaczenia IOD są oceniane przez organ nadzorczy jako naruszenia systemowe, mające wpływ na wszystkie procesy przetwarzania danych. Stanowisko PUODO podkreśla, że bez odpowiedniego nadzoru nie można skutecznie realizować praw osób, których dane dotyczą. Dlatego organizacje powinny podejść do wyznaczenia IOD z najwyższą starannością, dbając zarówno o formalności, jak i rzeczywiste wsparcie dla tej kluczowej roli w systemie ochrony danych osobowych.

Co otrzymasz od nas w ramach usługi Outsourcing IOD?

Decydując się na współpracę z Kancelarią Linke Kulicki, otrzymujesz kompleksowe wsparcie zespołu specjalistów. Od lat zajmujemy się ochroną danych osobowych w organizacjach, wdrażamy RODO i nadzorujemy prawidłowość jego stosowania w przedsiębiorstwach o zróżnicowanym profilu działalności. Dlaczego warto nas wybrać?

Każdą współpracę rozpoczynamy od szczegółowego audytu. W ten sposób określamy sytuację wyjściową w zakresie RODO i ustalamy priorytety działań, usuwając w pierwszej kolejności największe zagrożenia. Dokonujemy oceny skutków poszczególnych procesów dla ochrony danych oraz identyfikujemy ryzyko z nimi związane.

Przeanalizujemy firmową dokumentację. Zaktualizujemy ją i uzupełnimy ewentualne braki, zapewniając pełną zgodność organizacji z RODO. Zapewniamy wsparcie w postępowaniu przed organem nadzoru. Zapraszamy do współpracy wszystkie firmy, które chcą mieć pewność, że zarządzają danymi osobowymi w sposób bezpieczny i efektywny.