Prezes UODO stwierdził, że osoba pełniąca tę funkcję jednocześnie zajmowała stanowisko kierownicze w obszarze przetwarzania danych, co stwarzało konflikt interesów.

Sprawa zaczęła się od zgłoszenia naruszenia ochrony danych w związku z dostępem osoby nieuprawnionej do informacji zawartych w dokumentach PIT-11. W toku postępowania ustalono, że inspektor ochrony danych w spółce pełnił jednocześnie funkcję kierowniczą i nadzoruje obszar związany bezpośrednio z przetwarzaniem danych osobowych. Oznaczało to, że osoba odpowiedzialna za kontrolę danych jednocześnie mogła podejmować decyzje, które wpływały na jej własne działania. Był to więc klasyczny przypadek konfliktu interesów.

Brak analizy

Tymczasem zarówno z dokumentacji, jak i złożonych przez spółkę wyjaśnień wynikało, że Poczta Polska nie przeprowadziła analizy potencjalnych konfliktów interesów w zakresie pełnionych przez inspektora ochrony danych funkcji. W żadnym wewnętrznym akcie nie określono też, która funkcja powinna mieć pierwszeństwo, gdyby pojawił się konflikt między zadaniami IOD a innymi obowiązkami. Zdaniem organu nadzorczego oznaczało to, że inspektor ochrony danych nie mógł wykonywać swoich zadań w pełni niezależnie i skutecznie.

Prezes UODO powołał się przy tym na wytyczne grupy roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Jego zdaniem wskazują one jasno, że niezależność IOD jest kluczowa. Organ ten powinien mieć możliwość monitorowania sposobów i celów przetwarzania danych osobowych bez ryzyka wpływu na swoje decyzje przez inne funkcje w organizacji. Tymczasem spółka wyznaczyła na stanowisko IOD osobę, która miała władzę nad bezpieczeństwem i ochroną informacji niejawnych oraz wykonywała dodatkowe zadania. W opinii prezesa UODO takie połączenie funkcji nie jest dopuszczalne i budzi uzasadnione wątpliwości co do niezależności i obiektywizmu inspektora.

Poczta Polska nie była w stanie udowodnić, że IOD mógł prawidłowo wykonywać swoje zadania, łącząc je z innymi obowiązkami. Brak podziału zadań i określenia czasu pracy godził w skuteczność sprawowania funkcji IOD. W efekcie w spółce doszło do konfliktu zarówno merytorycznego, jak i czasowego w wykonywaniu obowiązków inspektora.

Co więcej, nie jest to pierwszy problem Poczty Polskiej w tym obszarze. Prezes UODO wydał wobec spółki już wiele decyzji, w których udzielał upomnień i nakazywał dostosowanie działań do przepisów RODO. Wykazane naruszenia pokazują, że w strukturze PP występują długotrwałe, systemowe problemy, które znacząco utrudniają przestrzeganie przepisów dotyczących ochrony danych osobowych.

Wysoka kara

Przy ustalaniu wysokości kary (978 tys. zł) organ nadzorczy uwzględnił wartość obrotu spółki za 2024 rok, rodzaj stwierdzonego naruszenia oraz fakt, że w trakcie postępowania Poczta Polska dokonała zmian, wyodrębniając funkcję IOD i podporządkowując ją bezpośrednio zarządowi. Dzięki temu organ uznał, że spółka podjęła kroki naprawcze, choć wcześniej zaniedbania miały charakter systemowy i trwały od dłuższego czasu.

Błąd przy informacji publicznej. Sąd ujawnił numery PESEL i adresy sędziów. Prezes UODO reaguje
Błąd przy informacji publicznej. Sąd ujawnił numery PESEL i adresy sędziów. Prezes UODO reaguje

Zobacz również