Z tego artykułu się dowiesz:
- Jakie naruszenia zasad RODO zostały stwierdzone w Poczcie Polskiej?
- Dlaczego niezależność inspektora ochrony danych jest kluczowa w organizacjach?
- Jakie konsekwencje wynikają z braku analizy konfliktów interesów dla funkcji IOD?
- Jakie są unijne wytyczne dotyczące niezależności inspektora i przetwarzania danych osobowych?
- Jakie działania podjęła Poczta Polska w celu poprawy zarządzania ochroną danych osobowych?
- W jaki sposób określono poziom kary nałożonej na Pocztę Polską za naruszenie RODO?
Kara jest efektem postępowania wyjaśniającego wszczętego z urzędu po otrzymaniu od spółki zgłoszenia naruszenia ochrony danych. Polegało ono na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych zawartych w dokumencie PIT-11. Prezes UODO ustalił, że doszło do konfliktu interesu polegającego na braku możliwości zapewnienia niezależności działania IOD, gdyż funkcję tę pełniła osoba, która jednocześnie nadzorowała swoją działalność w obszarze bezpośrednio związanym z działalnością administratora danych osobowych.
Okazało się, że spółka nie jest w stanie potwierdzić przeprowadzenia analizy konfliktów interesów w zakresie funkcji pełnionych przez IOD. W żadnym akcie wewnętrznym spółki nie określono pierwszeństwa sprawowanej funkcji przez IOD w przypadku zaistnienia konfliktu pomiędzy jego zadaniami oraz innymi obowiązkami wykonywanymi na rzecz administratora poza zakresem właściwym IOD.
IOD musi być niezależny
Zgodnie z art. 38 ust. 3 RODO IOD podlega bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego dane osobowe. Unijne wytyczne dotyczące IOD wskazują, że wymóg unikania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań przez IOD w sposób niezależny. „Wytyczne te odnoszą się również do kwestii określania sposobów i celów przetwarzania danych osobowych, co powinno zostać organizacyjnie i merytorycznie oddzielone od ich monitorowania” - zaznacza organ nadzorczy.
