28 stycznia 2026 r. obchodzimy 20. Europejski Dzień Ochrony Danych Osobowych. Z tej okazji w siedzibie Muzeum Historii Polski w Warszawie odbędzie się organizowany przez UODO oraz Krajową Izbę Radców Prawnych Kongres Ochrony Danych i Nowych Technologii, poświęcony m.in. przyszłości RODO, regulacjom dotyczącym sztucznej inteligencji, nowym technologiom w zatrudnieniu, ochronie małoletnich w Internecie czy cyberprzestępczości.

Jubileuszowy Europejski Dzień Ochrony Danych Osobowych przypada w czasie wyjątkowo dynamicznych zmian technologicznych, w których ochrona danych coraz częściej krzyżuje się z automatyzacją, algorytmami i systemami AI.

W tym kontekście szczególnego znaczenia nabiera rola Inspektora Ochrony Danych – nie jako “papierowej” funkcji, lecz realnego gwaranta zgodności i bezpieczeństwa przetwarzania danych.

W środowisku AI, gdzie procesy przetwarzania danych są coraz bardziej zautomatyzowane, IOD staje się kluczowym ogniwem, które monitoruje, czy algorytmy działają zgodnie z RODO i nie generują niepożądanych ryzyk dla osób, których dane dotyczą.

AI jest dziś odmieniane przez wszystkie przypadki i zewsząd bombardują nas artykuły na jej temat. Dlatego my, chcąc być nieco z boku, skupimy się w artykule na tym, jak organ nadzorczy ocenia dziś praktyczne umocowanie i niezależność IOD-a. Tej osoby, której rola przy wdrażaniu systemów opartych o AI jest niezwykle ważna oraz na konsekwencjach tego, gdy IOD pozostaje na marginesie lub realnie nie ma go w Organizacji wcale. To wszystko przez pryzmat najnowszych decyzji Prezesa UODO.

Poczta Polska na cenzurowanym

Najwyższa nałożona jak dotąd kara w Polsce, w zakresie wystąpienia konfliktu interesów przy powoływaniu IOD, od 26 stycznia 2026 r. dotyczy Poczty Polskiej S.A. i wynosi 978 tys. zł. Prezes UODO uznał, że spółka nie zagwarantowała warunków umożliwiających IOD wykonywanie zadań bez konfliktu interesów. Inspektorem została osoba zajmująca kierownicze stanowisko w obszarze bezpieczeństwa i ochrony informacji niejawnych, której jednocześnie powierzono inne zadania o charakterze decyzyjnym. W ocenie organu nadzorczego takie połączenie ról podważa niezależność, obiektywizm i skuteczność IOD. Więcej tutaj: https://uodo.gov.pl/pl/138/3421.

Ta sprawa pokazuje, że nawet wysokie kompetencje merytoryczne nie rekompensują błędnego umiejscowienia IOD w strukturze organizacyjnej. Taki sam konflikt mógłby przecież zachodzić w sytuacji osoby zajmującej kierownicze stanowisko w obszarach związanych z wdrażaniem rozwiązań z obszaru sztucznej inteligencji.

Czy Toyota Bank jest jak Twoja Organizacja?

Nie jest to odosobniony przypadek. Wcześniej Toyota Bank Polska S.A. został ukarany kwotą 261 918 zł. Kontrola wykazała, że inspektor ochrony danych nie podlegał bezpośrednio zarządowi, lecz był częścią struktury departamentu bezpieczeństwa i raportował do dyrektora odpowiedzialnego jednocześnie za procesy przetwarzania danych oraz nadzór nad ich zabezpieczeniami. PUODO uznał, że taka organizacja prowadzi do realnego konfliktu interesów.

Trzeba wyraźnie podkreślić, że tak umocowana osoba nie jest w stanie obiektywnie audytować samego siebie i zabezpieczenia przez nią proponowane, w tym te dotyczące nowowdrażanych technologii, zawsze będą obarczone ryzykiem nadmiernego zaangażowania w projekt.

Więcej tutaj: https://uodo.gov.pl/pl/138/3889.

Organ nadzorczy po raz kolejny jasno zasygnalizował, że IOD nie może kontrolować procesów, za które pośrednio sam odpowiada.

Czego uczy nas przykład PINB?

Kara dotknęła również Powiatowego Inspektora Nadzoru Budowlanego w Częstochowie, na którego nałożono 25 tys. zł administracyjnej kary pieniężnej. Przyczyną było niewyznaczenie IOD w sposób formalny, brak publikacji jego danych kontaktowych oraz brak zawiadomienia o nich Prezesa UODO. Organ nadzorczy podkreślił, że skuteczne wyznaczenie inspektora wymaga jednoznacznego, pisemnego aktu (np. zarządzenia lub umowy) oraz precyzyjnego określenia zakresu jego zadań zgodnie z art. 38 i 39 RODO. Więcej tutaj: https://uodo.gov.pl/pl/138/4053.

To przypomnienie, że „faktyczne wykonywanie zadań” bez formalnego umocowania nie istnieje z perspektywy PUODO. Pełnienie funkcji IOD nie jest łatwe, a jest tym trudniejsze, kiedy IOD nie jest włączany w nowe procesy i projekty, które pojawiają się po raz pierwszy w Organizacji i nie ma jeszcze dla nich przetartych szlaków wdrożenia, a zasady ochrony danych dopiero się kształtują.

Nasze podejście do roli IOD-a

 Jeśli chcecie dowiedzieć się, jakie podejście do prawidłowego powołania Inspektora Ochrony Danych stosujemy w praktyce, zapraszamy do naszej czteroczęściowej serii artykułów „Kogo na IOD-a?” autorstwa dwóch IOD-ów z wieloletnim doświadczeniem: Sebastiana Strzecha – Prezesa Zarządu CompNet Sp. z o.o. oraz Moniki Kowalik – Dyrektora Wykonawczego w CompNet Sp. z o.o.

• Część 1: Kto powinien pełnić funkcję IODa, aby nie stracić kontroli nad bezpieczeństwem danych? część 1: Dlaczego firmy zmieniają IOD-ów i co ich do tego popycha? 
• Część 2: Kto powinien pełnić funkcję IODa, aby nie stracić kontroli nad bezpieczeństwem danych?  część 2: Wyzwania Administratora Danych – nie tylko RODO. Rola IOD w nowej rzeczywistości
• Część 3: Kto powinien pełnić funkcję IODa, aby nie stracić kontroli nad bezpieczeństwem danych? część 3: Porównanie modeli IOD – decyzja strategiczna
• Część 4: Kto powinien pełnić funkcję IODa, aby nie stracić kontroli nad bezpieczeństwem danych? część 4: Zły wybór IOD kosztuje. Realne kary UODO jako instrukcja dla Administratorów danych 

Możemy Wam pomóc

Jeśli macie wątpliwości, czy IOD w Waszej Organizacji został powołany prawidłowo, możemy przeprowadzić audyt umocowania IOD w oparciu o wytyczne PUODO lub zapewnić wsparcie w ramach outsourcingu funkcji IOD.

Zgłoś się do nas! Wiemy jak skutecznie Wam pomóc: https://www.comp-net.pl/kontakt/

Decyzje PUODO jasno pokazują, że brak niezależności IOD, nawet przy jego formalnym powołaniu, może skutkować dotkliwymi karami finansowymi. W kontekście wdrażania systemów AI konsekwencje te stają się jeszcze poważniejsze – brak odpowiedniego nadzoru może prowadzić nie tylko do sankcji z tytułu RODO, ale też do naruszeń regulacji, takich jak AI Act, a także do ryzyk reputacyjnych i błędów w automatycznych decyzjach wpływających na prawa i wolności osób, których dane są przetwarzane.

W praktyce kluczowe znaczenie ma więc nie tylko „kto” pełni funkcję inspektora, ale także jego pozycja w strukturze organizacyjnej, zakres obowiązków oraz realna autonomia w działaniu.
Z perspektywy organu nadzorczego to właśnie te „detale organizacyjne” coraz częściej decydują o odpowiedzialności administratora i o tym, jak skutecznie Organizacja radzi sobie z wyzwaniami związanymi z danymi w erze AI.