Inspektor ochrony danych musi podlegać najwyższemu kierownictwu i nie może jednocześnie pełnić funkcji związanych z audytem IT czy bezpieczeństwem, aby uniknąć konfliktu interesów. Czy Twoja organizacja przestrzega tych zasad?
18 grudnia 2024 r. Prezes UODO wydał decyzję administracyjną w sprawie DKN.5112.14.2022, w której stwierdził m.in. naruszenie przez administratora art. 38 ust. 3 RODO. Polegało ono na braku zapewnienia przez administratora:
- by inspektor ochrony danych podlegał bezpośrednio najwyższemu kierownictwu administratora oraz
- by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań.
Za to naruszenie Prezes UODO nałożył administracyjną karę pieniężną w wysokości 261.918 zł.
Decyzja ta podkreśla znaczenie kluczowych obowiązków administratorów danych w zakresie zapewnienia niezależności i odpowiednich warunków pracy dla IOD. Zgodnie z art. 38 ust. 3 RODO, administrator danych ma obowiązek zapewnić, aby IOD nie otrzymywał instrukcji dotyczących wykonywania swoich zadań oraz podlegał bezpośrednio najwyższemu kierownictwu administratora. W analizowanej sprawie stwierdzono naruszenie tego przepisu, ponieważ IOD nie podlegał bezpośrednio zarządowi spółki, co mogło ograniczać jego niezależność i skuteczność działania. IOD w trakcie zatrudnienia u administratora zajmował jednocześnie stanowisko audytora IT lub specjalisty ds. bezpieczeństwa i podlegał bezpośrednio dyrektorowi departamentu bezpieczeństwa.
Decyzja ta uwidacznia konieczność odpowiedniego umiejscowienia IOD w strukturze organizacyjnej firmy. Bezpośrednie podleganie najwyższemu kierownictwu zapewnia IOD niezależność i możliwość skutecznego monitorowania zgodności działań firmy zgodnie z przepisami o ochronie danych. Zadaniem administratora jest również zapewnienie, iż IOD nie będzie otrzymywał instrukcji dotyczących wykonywania swoich obowiązków.
W związku z omawianą decyzją Prezesa UODO, każdy podmiot, w którym powołano IOD, powinien podjąć następujące działania:
- zweryfikować, a w razie takiej konieczności skorygować, umiejscowienie IOD w strukturze organizacyjnej;
- zweryfikować, czy IOD wykonuje dodatkowo zadania, które mogłyby powodować konflikt interesów;
- dostosować procedury wewnętrzne pod kątem zasad funkcjonowania IOD i ich zgodności ze stanowiskami UODO;
- podjąć działania naprawcze w razie wykrycia działań niezgodnych art. 38 ust. 3 RODO, aby uniknąć kar finansowych.
