W decyzji z dnia 12 września 2025 r. (DKN.5131.7.2025) Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 11.365 zł na spółkę, w której funkcję inspektora ochrony danych pełnił prezes zarządu. Prezes Urzędu Ochrony Danych Osobowych uznał, że sytuacja taka narusza art. 38 ust. 6 rozporządzenia 2016/679, który zobowiązuje administratora do zapewnienia, by inne zadania i obowiązki, które wykonuje inspektor ochrony danych nie powodowały konfliktu interesów. W ocenie organu nadzorczego nakładanie na inspektora danych osobowych zadań i obowiązków prowadzących do powstania konfliktu interesów, stawia pod znakiem zapytania nie tylko możliwość efektywnego wypełniania przez niego zadań, do realizacji których zobowiązuje go dyspozycja normy art. 39 RODO, ale godzi w same fundamenty instytucji inspektora ochrony danych, opartej w pierwszym rzędzie na niezależności jego funkcjonowania. Prezes Urzędu Ochrony Danych Osobowych wskazuje, że z uwagi na szczególną rolę i szczególne znaczenie w dziedzinie zapewniania właściwego przestrzegania przepisów o ochronie danych osobowych, inspektor ochrony danych musi mieć zagwarantowane odpowiednie warunki funkcjonowania, a więc takie, które pozwolą mu na efektywną, niezależną oraz prawidłową realizację obowiązków wynikających z przepisów prawa.
Zasada niezależności inspektora ochrony danych została wyrażona wprost w motywie 97 preambuły RODO, który stanowi, że inspektorzy ochrony danych, bez względu na to, czy są pracownikami administratora, powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Praktycznej realizacji tej zasady służą rozwiązania zawarte w art. 38 RODO. Duże znaczenie może mieć też wdrożenie zaleceń zaproponowanych przez Grupę Roboczą art. 29 ds. Ochrony Danych w wytycznych dotyczących inspektorów ochrony danych z 2016 r.
Jedną z podstawowych gwarancji niezależności inspektora ochrony danych osobowych jest odpowiednie umiejscowienie tego stanowiska w strukturze organizacji. Art. 38 ust. 3 zd. 3 RODO wymaga w tym zakresie, aby inspektor ochrony danych podlegał najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Oznacza to konieczność formalnego usytuowania inspektora ochrony danych w strukturze organizacji w taki sposób, aby we wszystkich procesach związanych z przetwarzaniem danych osobowych podlegał on bezpośrednio najwyższemu kierownictwu (np. zarządowi spółki, dyrektorowi szkoły itd.). Jednocześnie art. 38 ust. 6 RODO przewiduje, że inspektorowi ochrony danych mogą być powierzane tylko takie zadania i obowiązki, które nie powodują konfliktu interesów. Oznacza to w szczególności zakaz łączenia funkcji inspektora ochrony danych z zatrudnieniem na stanowiskach, które mogą rodzić taki konflikt. Do stanowisk takich zalicza się m.in. stanowiska: dyrektora generalnego, dyrektora ds. operacyjnych, dyrektora finansowego, dyrektora ds. medycznych, kierownika działu marketingu, kierownika działu HR, kierownika działu IT oraz inne stanowiska, których obowiązki obejmują udział w określaniu celów i sposobów przetwarzania danych osobowych (por. Grupa Robocza art. 29 ds. Ochrony Danych, Wytyczne dotyczące inspektorów ochrony danych, 2016). Z drugiej strony art. 38 ust. 1 RODO przewiduje, że inspektor ochrony danych powinien być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. W tym zakresie Grupa Robocza art. 29 ds. Ochrony Danych, wskazuje, że inspektorowi ochrony danych należy zapewnić udział w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji oraz udział przy podejmowaniu decyzji dotyczących przetwarzania danych osobowych. Zaleca się też, aby z inspektorem ochrony danych konsultować natychmiast naruszenia ochrony danych i inne zdarzenia związane z danymi osobowymi, a także, aby wewnątrz organizacji istniały wytyczne, które wskazywałyby przypadki wymagające konsultacji z inspektorem ochrony danych (por. Grupa Robocza art. 29 ds. Ochrony Danych, Wytyczne…). Zgodnie z zaleceniami Grupy Roboczej art. 29 ds. Ochrony Danych, niezbędne informacje powinny zostać udostępnione inspektorowi danych osobowych odpowiednio wcześniej, tak aby umożliwić mu zajęcie stanowiska (Grupa Robocza art. 29 ds. Ochrony Danych, Wytyczne…).
Na podstawie art. 38 ust. 2 RODO inspektorowi ochrony danychnależy zapewnić dostęp do danych osobowych i operacji przetwarzania niezbędnych do wypełniania przez niego zadań, o których mowa w art. 39 RODO. Przepis ten zobowiązuje administratora oraz podmiot przetwarzający do wspierania inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39 oraz zapewnienia mu zasobów niezbędnych do wykonania tych zadań, w tym niezbędnych do utrzymania jego wiedzy fachowej.
Ważną gwarancją niezależności inspektora ochrony danych jest wynikający z art. 38 ust. 3 zd. 1 RODO zakaz przekazywania inspektorowi ochrony danych instrukcji dotyczących wykonywania jego zadań. Zakaz ten oznacza, że inspektor ochrony danych nie może otrzymywać instrukcji dotyczących sposobu rozpoznania sprawy, środków jakie mają zostać podjęte, celu jaki powinien zostać osiągnięty, czy też potrzeby skontaktowania się z organem nadzorczym. Nie może on też zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, np. określonej wykładni przepisów (Grupa Robocza art. 29 ds. Ochrony Danych, Wytyczne…).
Grupa Robocza art. 29 ds. Ochrony Danych wskazuje z kolei na potrzebę zapewnienia inspektorowi ochrony danych możliwości przedstawienia swojej odrębnej opinii najwyższemu kierownictwu i osobom podejmującym decyzję, w sytuacji podjęcia przez administratora lub podmiot przetwarzający decyzji niezgodnej z przepisami RODO lub wydanymi przez niego zaleceniami. W ramach dobrych praktyk zaleca się też dokumentowanie przypadków i powodów postępowania niezgodnego z zaleceniem inspektora ochrony danych (Grupa Robocza art. 29 ds. Ochrony Danych, Wytyczne dotyczące inspektorów ochrony danych, 2016).
Do gwarancji niezależności inspektora ochrony danych należy też określony w art. 38 ust. 3 zd. 2 RODO zakaz odwoływania i karania inspektora ochrony danych za wypełnianie jego zadań. Oznacza on, że inspektor ochrony danych nie może być odwoływany lub ukarany (także pośrednio) w przypadku, gdy wypełnia on swoje zadania prawidłowo, ale w sposób, który nie odpowiada założeniom administratora lub podmiotu przetwarzającego (np. gdy wydaje on prawidłowe zalecenia, które uniemożliwiają wdrożenie projektowanych procesów przetwarzania danych osobowych). W tym miejscu warto też przypomnieć, że o ile inspektor ochrony danych może ponieść odpowiedzialność w przypadku nienależytego wykonywania swoich obowiązków, jednak nie ponosi on odpowiedzialności w przypadku niezgodności przetwarzania danych osobowych z RODO. Zgodnie bowiem z art. 24 ust. 1 RODO ostatecznie to administrator lub podmiot przetwarzający zobowiązany jest do zapewnienia zgodności przetwarzania danych osobowych z przepisami prawa, co dotyczy także wdrożenia przedstawionych rozwiązań służących zapewnieniu niezależności inspektora ochrony danych.
Grzegorz Lubeńczuk
Kancelaria Wyrzykowscy
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.
Zadaj pytanie do artykułu