Kara UODO dla Poczty Polskiej. Blisko 1 mln zł za RODO

Zdaniem UODO taka sytuacja prowadziła do realnego konfliktu interesów. Inspektor, zamiast niezależnie nadzorować przestrzeganie przepisów RODO, w praktyce kontrolował obszary, za które sam odpowiadał.

Urząd uznał, że Poczta Polska nie stworzyła warunków gwarantujących obiektywność i autonomię IOD.

Sprawa rozpoczęła się od zgłoszenia naruszenia ochrony danych osobowych. Chodziło o przypadek, w którym osoba nieuprawniona uzyskała dostęp do informacji zawartych w formularzu PIT-11. To właśnie ten incydent uruchomił postępowanie wyjaśniające prowadzone z urzędu.

W trakcie kontroli UODO ustalił, że inspektor ochrony danych zajmował jednocześnie stanowisko mające bezpośredni wpływ na sposób i cele przetwarzania danych osobowych. Z dokumentów przekazanych przez spółkę wynikało, że osoba pełniąca funkcję IOD nadzorowała własne działania w obszarze, który powinna kontrolować w sposób niezależny.

Co więcej, Poczta Polska nie była w stanie wykazać, że przeprowadziła analizę potencjalnych konfliktów interesów. W wewnętrznych regulacjach zabrakło też zapisów określających pierwszeństwo obowiązków inspektora w przypadku kolizji z innymi zadaniami służbowymi.

UODO przypomniał, że wytyczne dotyczące inspektora ochrony danych jasno wskazują na konieczność rozdzielenia funkcji decyzyjnych od nadzorczych. W przypadku Poczty Polskiej ta granica została zatarta.

Urząd zwrócił uwagę, że IOD posiadał również „władczą pozycję” w obszarze bezpieczeństwa i ochrony informacji niejawnych. To dodatkowo podważało jego niezależność.

„Niedopuszczalne jest skupienie roli administratora danych i niezależnego inspektora w jednej osobie” – podkreślił organ nadzorczy.

To nie pierwsza interwencja UODO wobec Poczty Polskiej. W przeszłości spółka była już upominana lub zobowiązywana do dostosowania procedur do przepisów RODO. Obecna decyzja, jak wskazuje Urząd, pokazuje istnienie długotrwałych problemów systemowych, które wpływają na sposób ochrony danych osobowych.

Wysokość kary ustalono na podstawie obrotów spółki za 2024 rok. UODO zaznaczył, że naruszenie miało charakter średniego stopnia, a na ostateczny wymiar sankcji wpłynęły również działania naprawcze podjęte w trakcie postępowania. Poczta Polska wyodrębniła funkcję IOD i podporządkowała ją bezpośrednio zarządowi jeszcze przed wydaniem decyzji.

Mimo tych zmian Urząd uznał, że wcześniejsze zaniedbania były na tyle poważne, iż konieczne było nałożenie dotkliwej kary finansowej.