Przez prawie sześć lat prezes zarządu jednej ze spółek medycznych pełnił jednocześnie funkcję inspektora ochrony danych (IOD). Urząd Ochrony Danych Osobowych uznał takie rozwiązanie za sprzeczne z RODO i nałożył na spółkę karę w wysokości 11 365 zł.
Incydent z danymi pacjentów
Sprawa wyszła na jaw po incydencie, do którego doszło w 2023 r., kiedy pacjentowi wydano dokumenty innej osoby. Spółka zgłosiła zdarzenie do Prezesa UODO i wskazała, że funkcję IOD pełni jej prezes zarządu.
W związku z tym organ nadzorczy wszczął postępowanie administracyjne. W jego toku ustalono, że spółka miała świadomość wymogu niezależności IOD od kierownictwa, jednak uznała, że w jej przypadku powierzenie tej funkcji prezesowi nie narusza zasad.
Argumentacja spółki
Administrator danych tłumaczył, że w sektorze medycznym interesy zarządu i interesy pacjentów są spójne, ponieważ ochrona dokumentacji medycznej i ochrona danych osobowych są ze sobą nierozerwalnie związane. Zdaniem spółki, takie rozwiązanie „gwarantowało najlepszą opiekę merytoryczną” zarówno wobec pacjentów, jak i wobec samego IOD.
Spółka powołała się przy tym na własną interpretację art. 38 ust. 6 RODO, wskazując, że w jej działalności nie występuje konflikt interesów.
Stanowisko PUODO
Prezes UODO Mirosław Wróblewski nie podzielił tej argumentacji. W decyzji podkreślono, że inspektor ochrony danych ma pełnić funkcję doradczą i kontrolną wobec administratora danych. Aby było to możliwe, musi być niezależny od zarządu i mieć możliwość sygnalizowania problemów bez ryzyka, że będą one kolidować z interesami kierownictwa spółki.
RODO dopuszcza, by IOD wykonywał inne zadania, ale tylko w sytuacji, gdy nie rodzą one konfliktu interesów. Konflikt taki występuje zawsze wtedy, gdy dana osoba mogłaby oceniać własne decyzje albo ograniczać raportowanie z obawy przed konsekwencjami.
PUODO wskazał, że prezes zarządu nie może pełnić roli inspektora ochrony danych, ponieważ nie zapewnia to wymaganej obiektywności i niezależności.
