Strukturalny konflikt interesów kosztował spółkę medyczną ponad 11 tys. zł
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 12 września 2025 r. DKN.5131.7.2025 (decyzja jest prawomocna) po raz kolejny kieruje uwagę na niezależność Inspektora Ochrony Danych. Organ nałożył na spółkę medyczną karę 11 365 zł za sześcioletnie łączenie funkcji prezesa zarządu i IOD. Zdaniem UODO taka konstrukcja organizacyjna narusza art. 38 ust. 6 RODO i uniemożliwia wykonywanie zadań inspektora w sposób bezstronny.
Prezes zarządu jako IOD? „Niezależność tylko z nazwy”
Spółka w ramach zgłoszenia incydentu w 2023 r. sama poinformowała, że jej IOD jest równocześnie prezesem zarządu. UODO uznał, że to klasyczny strukturalny konflikt interesów — osoba, która wyznacza cele przetwarzania danych, nie może w tej samej sprawie pełnić roli nadzorującej.
Argumenty spółki dotyczące tajemnicy lekarskiej, optymalizacji zasobów i ograniczeń finansowych organ odrzucił. RODO nie przewiduje wyjątków dla przedsiębiorców o szczególnym profilu działalności ani dla tych, którzy chcieliby zaoszczędzić na niezależnym inspektorze.
TSUE i EROD: funkcje kierownicze nie są do pogodzenia z rolą inspektora
W uzasadnieniu decyzji Prezes UODO powołał się na orzeczenie TSUE w sprawie C-453/21 oraz wytyczne Europejskiej Rady Ochrony Danych. Wynika z nich jednoznacznie, że inspektor nie może wykonywać obowiązków, które prowadzą do określania sposobów przetwarzania danych. Funkcja prezesa zarządu — podobnie jak dyrektora IT, HR czy CFO — należy właśnie do takich ról.
W tym przypadku problem był głębszy: analiza konfliktu interesów została sporządzona i zatwierdzona przez tę samą osobę, która pełniła funkcję IOD. Taka praktyka w ocenie organu całkowicie podważa sens nadzoru wewnętrznego.
Kara umiarkowana, skutki istotne
Choć spółka ostatecznie powołała zewnętrznego IOD, Prezes UODO wskazał na umyślny charakter naruszenia i jego długotrwałość. Kara — choć finansowo umiarkowana — ma pełnić funkcję prewencyjną i przypominać, że niezależność inspektora nie jest formalnością, lecz fundamentem systemu ochrony danych.
Sygnał dla rynku: rola IOD to nie „funkcja dodatkowa”
Decyzja ta pokazuje, jak łatwo nieświadomie zbudować model organizacyjny sprzeczny z RODO — nawet przy dobrych intencjach i ograniczonych zasobach. Dlatego coraz więcej podmiotów decyduje się na powierzenie obsługi prawnej i funkcji IOD profesjonalnym podmiotom, w tym Kancelariom. Niezależny nadzór, rzetelna analiza ryzyka i bieżące wsparcie prawne pozwalają uniknąć błędów, które później kosztują nie tylko pieniądze, ale i reputację. Dla wielu firm to po prostu bezpieczniejsza i bardziej przewidywalna droga.
