Prezes Urzędu Ochrony Danych Osobowych wydał 18 grudnia 2024 r. decyzję, która podkreśla to, o czym mówiło się już od dłuższego czasu – Inspektor Ochrony Danych musi być niezależny i może podlegać tylko najwyższemu kierownictwu.

W sprawie doszło do kontroli Prezesa UODO, który stwierdził, że w kontrolowanej organizacji Inspektor Ochrony Danych pracował na stanowisku  IT audytora/specjalisty ds. bezpieczeństwa w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa, podlegając bezpośrednio dyrektorowi tego departamentu. Obowiązki tej osoby polegały również na zarządzaniu procesami przetwarzania danych. Mianowany formalnie IOD oceniał zatem sam siebie, co jest jaskrawym zaprzeczeniem niezależności. Za to uchybienie Prezes UODO nałożył 261 918 zł kary.

Drugim wątkiem w sprawie było nieuwzględnienie profilowania w opisie procesów (czynności) przetwarzania danych w rejestrze czynności przetwarzania oraz niedokonania oceny skutków dla ochrony danych (DPIA). Kara: 314 302 zł.

Prezes UODO po swoich licznych wystąpieniach, tym razem już poprzez konkretną decyzję stwierdza, że niezależność IODa stanowi fundament funkcjonowania IODa jako elementu danej organizacji. Inspektor nie może jednocześnie przetwarzać danych osobowych, gdyż oznaczałoby to, że monitorowałby sam siebie. Stanowiłoby to wyraźną sprzeczność w funkcjonowaniu IODa oraz naruszenie zasady jego niezależności.

Funkcje IODa zostały wyraźnie wskazane w RODO i jedynie w tym zakresie należy się trzymać obowiązków Inspektora. Mianowanie Inspektorem osoby, która jednocześnie przetwarza dane (np. członka Zarządu, dyrektora ds. HR, dyrektora ds. marketingu, specjalisty IT) to typowe naruszenie zasady niezależności oraz przepisów RODO, które może spotkać się z nałożeniem administracyjnej kary pieniężnej. Dlatego dobrym rozwiązaniem dla każdej organizacji, która nie chce tworzyć odrębnego etatu dla IODa jest zlecenie outsourcingu usługi IOD. Należy jednak przy tym pamiętać, aby nawiązanie takiej współpracy również nie pokrywało się ze świadczeniem innych usług, których przedmiot mógłby pozostać w sprzeczności z funkcją Inspektora.

Drugi człon omawianej decyzji to zignorowanie profilowania w dokumentacji. W trakcie kontroli ustalono, że podmiot kontrolowany profiluje liczne dane klientów w celu określania ich zdolności kredytowej. Podmiot ten przetwarza także wynik tzw. scoringu, czyli oceny punktowej ryzyka kredytowego i nadania kategorii ryzyka zdefiniowanej przez podmiot. Ponadto, podmiot kontrolowany nie ocenił skutków profilowania dla bezpieczeństwa przetwarzania danych osobowych. Profilowanie jest jednym z tych elementów przetwarzania danych, który musi znaleźć swoje odzwierciedlenie w stosowanej dokumentacji RODO – szczególnie w klauzulach informacyjnych i rejestrze czynności przetwarzania. Jeżeli jakiś proces przetwarzania związany jest z profilowaniem, odpowiednia kolumna w rejestrze czynności powinna na to wskazywać. Będzie to dowodem świadomości administratora co do uwzględnienia profilowania w fazie projektowania i ocenie ryzyka. Jednocześnie nie można zapominać o przeprowadzeniu oceny skutków dla ochrony danych (DPIA), która musi być szczegółowym etapem badania tego, jakie ryzyka dla praw i wolności osób fizycznych wiążą się ze stosowaniem profilowania.

Wysokość kar pieniężnych nałożonych w omawianej decyzji jest dosyć wysoka. W szczególności uderza kara za brak niezależności IODa – jest to pierwsza taka kara w Polsce, i jedna z pierwszych (o ile nie pierwsza) w Europie. To wyraźnie pokazuje, w jakim kierunku będą dalej szły wytyczne Prezesa UODO.

Sprawdź jak możemy wesprzeć Twój biznes!

r. pr. Daniel Rybarczyk

Starszy Prawnik, Departament Compliance | RK RODO Zobacz w czym mogę pomóc

Poznajmy się

Już ponad 600 firm zaufało naszym kompetencjom!
Napisz do nas: [email protected]
lub zadzwoń na: +48 22 380 33 44