"Spółka wyznaczyła do pełnienia funkcji IOD osobę na stanowisku kierowniczym o władczej pozycji w zakresie zagadnień bezpieczeństwa i ochrony informacji niejawnych, a także powierzyła tej osobie inne zadania, co wzbudziło uzasadnione wątpliwości organu nadzorczego względem zapewnienia inspektorowi warunków gwarantujących niezależność, skuteczność oraz obiektywizm w wykonywaniu jego zadań" - przekazał w poniedziałek w komunikacie Urząd Ochrony Danych Osobowych.
Z tego powodu prezes UODO Mirosław Wróblewski nałożył administracyjną karę pieniężną na Pocztę Polską w wysokości 978 tys. zł.
Postępowanie na podstawie zgłoszenia
UODO przekazał, że postępowanie wyjaśniające wszczęto z urzędu i zostało one poprzedzone otrzymaniem od spółki zgłoszenia naruszenia ochrony danych polegającego na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych zawartych w dokumencie PIT-11. Konflikt interesów miał polegać na niezapewnieniu niezależności działania IOD z uwagi na to, że jednocześnie sprawował on stanowisko kierownicze i merytoryczne związane z przetwarzaniem danych osobowych.
"Z nadesłanych wyjaśnień oraz załączonej dokumentacji wynikało, że funkcję IOD w organizacji sprawuje osoba, która jednocześnie nadzorowała swoją działalność w obszarze bezpośrednio związanym z działalnością administratora" - podkreślił Urząd.
Według Urzędu spółka w toku postępowania miała nie być w stanie potwierdzić, że przeprowadziła analizę konfliktów interesów w zakresie funkcji pełnionych przez IOD. Ponadto w aktach wewnętrznych Poczty Polskiej nie zawarto pierwszeństwa sprawowanej przez IOD funkcji w przypadku zaistnienia takiego konfliktu pomiędzy jego zadaniami a innymi wykonywanymi obowiązkami.
"Powinno zostać organizacyjnie i merytorycznie oddzielone"
UODO przypomniał, że wytyczne dot. funkcji IOD wskazują, że wymóg unikania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań IOD w sposób niezależny. "Wytyczne te odnoszą się również do kwestii określania sposobów i celów przetwarzania danych osobowych, co powinno zostać organizacyjnie i merytorycznie oddzielone od ich monitorowania" - dodał organ nadzorczy.
Wskazał, że w Poczcie Polskiej funkcję IOD pełniła osoba, która jednocześnie posiadała "władczą pozycję" w zakresie m.in. zagadnień bezpieczeństwa i ochrony informacji niejawnych. Wzbudziło to wątpliwości UODO względem zapewnienia inspektorowi warunków gwarantujących niezależność, skuteczność i obiektywizm.
"Niedopuszczalne jest bowiem związanie IOD poleceniami mocodawcy i skoncentrowanie obu funkcji - administratora danych osobowych oraz niezależnego inspektora - przez wyznaczenie ich jednej osobie" - podkreślił Urząd.
UODO: w spółce występują długotrwałe i nierozwiązane problemy systemowe
Przypomniano, że to nie pierwsza decyzja UODO wobec Poczty Polskiej, a inne kończyły się upomnieniami lub nakazem dostosowania operacji przetwarzania danych do przepisów RODO.
"Wykazane naruszenia świadczą niezbicie o występowaniu w strukturze spółki długotrwałych i nierozwiązanych dotychczas problemów o charakterze systemowym, które istotnie wpływają na przestrzeganie przez administratora przepisów z zakresu przetwarzania danych osobowych" - ocenił UODO.
Wyjaśnił, że podstawą obliczenia wysokości kary była wartość obrotu spółki za 2024 r. wynikający ze sprawozdania finansowego załączonego do wyjaśnień przedłożonych prezesowi UODO.
Oceniono, że stwierdzone naruszenie ma charakter średniego poziomu, a na wymiar kary miało również wpływ dokonanie przez administratora późniejszych zmian w zakresie usytuowania w jej strukturach IOD na skutek wyodrębnienia tej funkcji i ustaleniu jej bezpośredniej podległości zarządowi spółki. Zmiana ta miała być wykonana w toku postępowania administracyjnego, jeszcze przed wydaniem decyzji.
Autorka/Autor: Pkarp/ToL
Źródło: PAP
Źródło zdjęcia głównego: Fakty TVN