Z tego artykułu się dowiesz:
- Jakie naruszenia zasad RODO zostały stwierdzone w Poczcie Polskiej?
- Dlaczego niezależność inspektora ochrony danych jest kluczowa w organizacjach?
- Jakie konsekwencje wynikają z braku analizy konfliktów interesów dla funkcji IOD?
- Jakie są unijne wytyczne dotyczące niezależności inspektora i przetwarzania danych osobowych?
- Jakie działania podjęła Poczta Polska w celu poprawy zarządzania ochroną danych osobowych?
- W jaki sposób określono poziom kary nałożonej na Pocztę Polską za naruszenie RODO?
Kara jest efektem postępowania wyjaśniającego wszczętego z urzędu po otrzymaniu od spółki zgłoszenia naruszenia ochrony danych. Polegało ono na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych zawartych w dokumencie PIT-11. Prezes UODO ustalił, że doszło do konfliktu interesu polegającego na braku możliwości zapewnienia niezależności działania IOD, gdyż funkcję tę pełniła osoba, która jednocześnie nadzorowała swoją działalność w obszarze bezpośrednio związanym z działalnością administratora danych osobowych.
Okazało się, że spółka nie jest w stanie potwierdzić przeprowadzenia analizy konfliktów interesów w zakresie funkcji pełnionych przez IOD. W żadnym akcie wewnętrznym spółki nie określono pierwszeństwa sprawowanej funkcji przez IOD w przypadku zaistnienia konfliktu pomiędzy jego zadaniami oraz innymi obowiązkami wykonywanymi na rzecz administratora poza zakresem właściwym IOD.
Czytaj więcej:
Funkcji prezesa zarządu spółki medycznej nie można łączyć z pełnieniem w niej funkcji Inspektora Ochrony Danych (IOD) - tak uznał Prezes Urzędu Och...
Pro
IOD musi być niezależny
Zgodnie z art. 38 ust. 3 RODO IOD podlega bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego dane osobowe. Unijne wytyczne dotyczące IOD wskazują, że wymóg unikania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań przez IOD w sposób niezależny. „Wytyczne te odnoszą się również do kwestii określania sposobów i celów przetwarzania danych osobowych, co powinno zostać organizacyjnie i merytorycznie oddzielone od ich monitorowania” - zaznacza organ nadzorczy.
Tymczasem Poczta Polska wyznaczyła do pełnienia funkcji IOD osobę na stanowisku kierowniczym o władczej pozycji w zakresie zagadnień bezpieczeństwa i ochrony informacji niejawnych. Powierzyła tej osobie także inne zadania, co wzbudziło wątpliwości PUODO w kwestii zapewnienia inspektorowi warunków gwarantujących niezależność, skuteczność oraz obiektywizm w wykonywaniu jego zadań. „Niedopuszczalne jest bowiem związanie IOD poleceniami mocodawcy i skoncentrowanie obu funkcji – administratora danych osobowych oraz niezależnego inspektora – przez wyznaczenie ich jednej osobie” - wyjaśnia UODO.
Postępowanie wyjaśniające wykazało także istnienie konfliktu merytorycznego i czasowego w zakresie pełnienia funkcji inspektora ochrony danych w Poczcie Polskiej.
Systemowe błędy Poczty Polskiej w zakresie przetwarzania danych osobowych
To nie jest pierwsze naruszenie RODO w tej spółce. Prezes UODO już wielokrotnie udzielił Poczcie Polskiej upomnień lub nakazał dostosowanie operacji przetwarzania danych do przepisów RODO. „Wykazane naruszenia świadczą niezbicie o występowaniu w strukturze spółki długotrwałych i nierozwiązanych dotychczas problemów o charakterze systemowym, które istotnie wpływają na przestrzeganie przez administratora przepisów z zakresu przetwarzania danych osobowych” - czytamy w komunikacie na stronie UODO.
Czytaj więcej
Porozrywane koperty z wypadającą zwartością, niedoręczenie przesyłki lub doręczenie nieuprawnionej osobie - tego typu incydenty wciąż zbyt często...
PUODO ocenił, że stwierdzone naruszenie ma charakter średniego poziomu. Podstawą obliczenia wymiaru kary była wartość obrotu spółki za rok 2024 wynikający ze sprawozdania finansowego. Wpływ miał również fakt, że jeszcze przed wydaniem ostatecznej decyzji Prezesa UODO, spółka wyodrębniła funkcję IOD w strukturze i ustaliła jej bezpośrednią podległość zarządowi spółki.
