Prezes UODO Mirosław Wróblewski nałożył administracyjną karę pieniężną na Pocztę Polską S.A. w wysokości 978 tys. zł za brak zapewnienia niezależności sprawowania funkcji inspektora ochrony danych (IOD). Organ nadzorczy stwierdził, że spółka nie zagwarantowała, żeby wykonywanie zadań przez IOD nie powodowało konfliktu interesów.

W tej sprawie Prezes UODO postanowił wszcząć postępowanie wyjaśniające z urzędu, które zostało poprzedzone otrzymaniem od spółki zgłoszenia naruszenia ochrony danych polegającego na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych zawartych w dokumencie PIT-11. Prezes UODO w toku postępowania ustalił, że doszło do konfliktu interesu polegającego na braku możliwości zapewnienia niezależności działania IOD z uwagi na jednoczesne sprawowanie przez niego stanowiska kierowniczego oraz merytorycznego w organizacji bezpośredniego związanego z przetwarzaniem danych osobowych. Z nadesłanych wyjaśnień oraz załączonej dokumentacji wynikało, że funkcję IOD w organizacji sprawuje osoba, która jednocześnie nadzorowała swoją działalność w obszarze bezpośrednio związanym z działalnością administratora.

Gwarancja niezależności IOD

W toku postępowania administracyjnego okazało się, że spółka nie jest w stanie potwierdzić faktu przeprowadzenia analizy konfliktów interesów w zakresie funkcji pełnionych przez IOD. Ponadto w żadnym akcie wewnętrznym spółki nie określono pierwszeństwa sprawowanej funkcji przez IOD w przypadku zaistnienia konfliktu pomiędzy jego zadaniami oraz innymi obowiązkami wykonywanymi na rzecz administratora poza zakresem właściwym IOD. 

Wytyczne Grupy Roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, powołanej na mocy dyrektywy Parlamentu Europejskiego i Rady z 24 października 1995 r. wskazują, że wymóg unikania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań przez IOD w sposób niezależny. Wytyczne te odnoszą się również do kwestii określania sposobów i celów przetwarzania danych osobowych, co powinno zostać organizacyjnie i merytorycznie oddzielone od ich monitorowania.

Tymczasem w omawianej sprawie spółka wyznaczyła do pełnienia funkcji IOD osobę na stanowisku kierowniczym o władczej pozycji w zakresie zagadnień bezpieczeństwa i ochrony informacji niejawnych, a także powierzyła tej osobie inne zadania, co wzbudziło uzasadnione wątpliwości organu nadzorczego względem zapewnienia inspektorowi warunków gwarantujących niezależność, skuteczność oraz obiektywizm w wykonywaniu jego zadań. Niedopuszczalne jest bowiem związanie IOD poleceniami mocodawcy i skoncentrowanie obu funkcji - administratora danych osobowych oraz niezależnego inspektora - przez wyznaczenie ich jednej osobie.

Prezes UODO ustalił także brak możliwości wykazania przez Spółkę przeprowadzenia analizy potwierdzającej istnienie właściwych warunków do wykonywania przez IOD swoich zadań w sposób prawidłowy jednocześnie z innymi powierzonymi mu obowiązkami w Spółce. W tym zakresie zaniechano jasnego sprecyzowania podziału zadań i wymiaru czasu co godziło w skuteczność sprawowania funkcji IOD.

To nie pierwsze naruszenie RODO

W toku postępowania administracyjnego Prezes UODO wykazał istnienie konfliktu merytorycznego i czasowego w zakresie pełnienia funkcji inspektora ochrony danych w Spółce. Należy jednak dodać, że dotychczas Prezes UODO wydał wobec tego administratora już wiele innych decyzji, na mocy których udzielił mu upomnień lub nakazał dostosowanie operacji przetwarzania danych do przepisów RODO. Wykazane naruszenia świadczą niezbicie o występowaniu w strukturze spółki długotrwałych i nierozwiązanych dotychczas problemów o charakterze systemowym, które istotnie wpływają na przestrzeganie przez administratora przepisów z zakresu przetwarzania danych osobowych.

Podstawą obliczenia wymiaru kary administracyjnej była wartość obrotu spółki za rok 2024 wynikający ze sprawozdania finansowego załączonego do wyjaśnień przedłożonych Prezesowi UODO. Organ nadzorczy ocenił, że stwierdzone naruszenie ma charakter średniego poziomu. Na wymiar kary miało również wpływ dokonanie przez administratora późniejszych zmian w zakresie usytuowania w jej strukturach inspektora ochrony danych na skutek wyodrębnienia tej funkcji i ustaleniu jej bezpośredniej podległości zarządowi spółki. Spółka dokonała powyższej zmiany w toku trwającego postępowania administracyjnego przed wydaniem ostatecznej decyzji Prezesa UODO.

DKN.5131.4.2025