RODO w praktyce – przełomowa decyzja UODO

Urząd Ochrony Danych Osobowych (UODO) nałożył na Toyota Bank karę w wysokości ponad pół miliona złotych za naruszenie przepisów RODO. Choć sankcje finansowe za nieprawidłowe przetwarzanie danych osobowych nie są nowością, ta decyzja zwraca uwagę na wyjątkowy aspekt – sposób, w jaki w organizacji usytuowany został Inspektor Ochrony Danych (IOD).

Toyota Bank został ukarany dwiema oddzielnymi grzywnami o łącznej wartości 576 tys. zł. Jedna za za brak uwzględnienia profilowania w rejestrze czynności przetwarzania danych, druga, za nieprawidłowe umiejscowienie IOD w strukturze organizacyjnej. To właśnie ta druga jest w pewnym sensie przełomowa.

Toyota Bank wyznaczył na Inspektora Ochrony Danych pracownika działu bezpieczeństwa, który równocześnie miał obowiązek raportowania do dyrektora tego działu. To oznaczało, że musiał on kontrolować swojego przełożonego – sytuacja sprzeczna z zasadą niezależności IOD, wymaganą przez przepisy RODO. Co więcej, zastępcą IOD został właśnie przełożony inspektora, co dodatkowo nasiliło konflikt interesów. Bank próbował tłumaczyć, że struktura organizacyjna była jedynie administracyjnym rozwiązaniem dla celów kadrowych, ale UODO uznał te argumenty za niewystarczające.

RODO jest obecne już od 2018 roku. Wkrótce minie od wprowadzenia tego prawa już 7 lat (fot. INnERT)

To jedna z pierwszych decyzji UODO, która tak jednoznacznie podkreśla, jak istotne jest prawidłowe wyznaczenie Inspektora Ochrony Danych w organizacji. Często firmy traktują IOD jako „osobę od ochrony danych”, powierzając mu nie tylko funkcję kontrolną, ale także obowiązki związane z wdrażaniem zabezpieczeń. Ta decyzja pokazuje, że takie podejście jest błędem, który może kosztować przedsiębiorstwo setki tysięcy złotych. Przedsiębiorcy powinni potraktować ten przypadek jako ostrzeżenie – Inspektor Ochrony Danych musi być rzeczywiście niezależny, a jego rola nie może kolidować z innymi obowiązkami w firmie.