fot: Poczta Polska
To nie pierwsza decyzja UODO wobec Poczty Polskiej
fot: Poczta Polska
Niemal 1 mln zł kary na Pocztę Polską nałożył Prezes Urzędu Ochrony Danych Osobowych, według którego spółka nie zagwarantowała niezależności sprawowania funkcji inspektora ochrony danych (IOD) - jednocześnie pełnił on stanowisko kierownicze i merytoryczne zw. z przetwarzaniem danych osobowych.
Urząd uznał, iż Poczta Polska nie zagwarantowała, żeby wykonywanie zadań przez inspektora ochrony danych nie powodowało konfliktu interesów. Z tego powodu prezes UODO Mirosław Wróblewski nałożył administracyjną karę pieniężną na Pocztę Polską w wysokości 978 tys. zł - poinformowano w poniedziałek w komunikacie.
UODO przekazał, że postępowanie wyjaśniające wszczęto z urzędu i zostało one poprzedzone otrzymaniem od spółki zgłoszenia naruszenia ochrony danych polegającego na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych zawartych w dokumencie PIT-11. Konflikt interesów miał polegać na niezapewnieniu niezależności działania IOD z uwagi na to, że jednocześnie sprawował on stanowisko kierownicze i merytoryczne związane z przetwarzaniem danych osobowych.
“Z nadesłanych wyjaśnień oraz załączonej dokumentacji wynikało, że funkcję IOD w organizacji sprawuje osoba, która jednocześnie nadzorowała swoją działalność w obszarze bezpośrednio związanym z działalnością administratora“ - podkreślił Urząd.
Według Urzędu spółka w toku postępowania miała nie być w stanie potwierdzić, że przeprowadziła analizę konfliktów interesów w zakresie funkcji pełnionych przez IOD. Ponadto w aktach wewnętrznych Poczty Polskiej nie zawarto pierwszeństwa sprawowanej przez IOD funkcji w przypadku zaistnienia takiego konfliktu pomiędzy jego zadaniami a innymi wykonywanymi obowiązkami.
UODO przypomniał, że wytyczne dot. funkcji IOD wskazują, że wymóg unikania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań IOD w sposób niezależny. “Wytyczne te odnoszą się również do kwestii określania sposobów i celów przetwarzania danych osobowych, co powinno zostać organizacyjnie i merytorycznie oddzielone od ich monitorowania“ - dodał organ nadzorczy.
Wskazał, że w Poczcie Polskiej funkcję IOD pełniła osoba, która jednocześnie posiadała “władczą pozycję“ w zakresie m.in. zagadnień bezpieczeństwa i ochrony informacji niejawnych. Wzbudziło to wątpliwości UODO względem zapewnienia inspektorowi warunków gwarantujących niezależność, skuteczność i obiektywizm. “Niedopuszczalne jest bowiem związanie IOD poleceniami mocodawcy i skoncentrowanie obu funkcji - administratora danych osobowych oraz niezależnego inspektora - przez wyznaczenie ich jednej osobie“ - podkreślił Urząd.
Przypomniano, że to nie pierwsza decyzja UODO wobec Poczty Polskiej, a inne kończyły się upomnieniami lub nakazem dostosowania operacji przetwarzania danych do przepisów RODO. “Wykazane naruszenia świadczą niezbicie o występowaniu w strukturze spółki długotrwałych i nierozwiązanych dotychczas problemów o charakterze systemowym, które istotnie wpływają na przestrzeganie przez administratora przepisów z zakresu przetwarzania danych osobowych“ - ocenił UODO.
Wyjaśnił, że podstawą obliczenia wysokości kary była wartość obrotu spółki za 2024 r. wynikający ze sprawozdania finansowego załączonego do wyjaśnień przedłożonych prezesowi UODO. Oceniono, że stwierdzone naruszenie ma charakter średniego poziomu, a na wymiar kary miało również wpływ dokonanie przez administratora późniejszych zmian w zakresie usytuowania w jej strukturach IOD na skutek wyodrębnienia tej funkcji i ustaleniu jej bezpośredniej podległości zarządowi spółki. Zmiana ta miała być wykonana w toku postępowania administracyjnego, jeszcze przed wydaniem decyzji.
