Przez niemal sześć lat prezes spółki medycznej pełnił jednocześnie funkcję Inspektora Ochrony Danych (IOD). To naruszenie podstawowych zasad RODO, co potwierdził Prezes Urzędu Ochrony Danych Osobowych, nakładając na firmę karę w wysokości 11 365 zł.
Z tego artykułu dowiesz się…
- Dlaczego nie można łączyć funkcji prezesa zarządu i Inspektora Ochrony Danych.
- Jakie argumenty podniosła spółka medyczna i dlaczego PUODO je odrzucił.
- Jakie wymogi dotyczące niezależności IOD wynikają z art. 38 ust. 6 RODO.
- Jakie konsekwencje grożą placówkom medycznym za błędną interpretację przepisów.
Incydent ujawnia nieprawidłowość
W 2023 r. spółka zgłosiła do PUODO naruszenie ochrony danych – jednemu z pacjentów wydano dokumentację innej osoby. W toku analizy zgłoszenia ustalono, że funkcję Inspektora Ochrony Danych w firmie pełni… sam prezes zarządu. Urząd wszczął postępowanie administracyjne, które wykazało naruszenie unijnego rozporządzenia RODO.
Prezes nie widzi konfliktu
W przesłanych do PUODO wyjaśnieniach spółka przekonywała, że nie doszło do konfliktu interesów. Powołując się na własną interpretację art. 38 ust. 6 RODO, uznała, że skoro jej działalność jest nierozerwalnie związana z tajemnicą lekarską, to nie można mówić o sprzeczności między rolą prezesa a zadaniami IOD. Zdaniem zarządu, ochrona danych pacjentów jest wpisana w obowiązki kierownictwa, dlatego łączenie funkcji IOD i prezesa nie narusza niezależności.
Wprost stwierdzono, że „obecne rozwiązanie uważamy za optymalne”, a działania prezesa jako osoby nadzorującej dokumentację medyczną i tajemnicę zawodową wspierają – a nie wykluczają – skuteczną realizację zadań z zakresu ochrony danych osobowych. W opinii spółki interesy zarządu i interesy pacjentów były spójne, a nie sprzeczne.
PUODO: niezależność IOD to nie opcja, to obowiązek
Prezes UODO nie podzielił tej argumentacji. W decyzji podkreślono, że spółka zastosowała własną, błędną wykładnię przepisów i wyciągnęła z niej nieprawidłowe wnioski. Niezależność Inspektora Ochrony Danych musi mieć charakter strukturalny i funkcjonalny. IOD powinien mieć swobodę działania, by informować kierownictwo o nieprawidłowościach – nawet jeśli są one trudne do zaakceptowania lub wiążą się z dodatkowymi kosztami.
UODO przypomniał, że zgodnie z RODO inspektor może wykonywać inne zadania tylko wtedy, gdy nie prowadzą one do konfliktu interesów. W przypadku prezesa, który odpowiada zarówno za funkcjonowanie organizacji, jak i zgodność z przepisami, konflikt ten występuje z definicji – niezależnie od deklarowanych intencji.
Zgodnie z art. 38 ust. 6 RODO, inspektor ochrony danych może pełnić inne funkcje, ale tylko jeśli nie wpływa to na jego bezstronność. W przypadku spółki medycznej nawet jeśli ochrona dokumentacji pacjentów jest traktowana jako priorytet, nie zwalnia to z obowiązku zapewnienia niezależnej kontroli zgodności z przepisami o ochronie danych.
Konsekwencje dla podmiotu
W efekcie postępowania PUODO nałożył na spółkę karę w wysokości 11 365 zł. Decyzja została opublikowana w rejestrze orzeczeń UODO (sygn. DKN.5131.7.2025).
Główne wnioski
- Spółka medyczna została ukarana kwotą 11 365 zł za łączenie funkcji IOD i prezesa zarządu, co stanowiło naruszenie RODO.
- PUODO odrzucił argumentację spółki, która powoływała się na spójność interesów wynikającą z charakteru działalności objętej tajemnicą lekarską.
- Inspektor Ochrony Danych musi działać niezależnie od kierownictwa i mieć możliwość wskazywania uchybień bez konfliktu interesów.
- Decyzja została opublikowana pod sygnaturą DKN.5131.7.2025 w rejestrze orzeczeń UODO.
Źródło:
- UODO
