W poprzednich trzech artykułach z serii “Kogo na IODa” pisałem o tym, dlaczego organizacje (Administrator Danych) zmieniają IODów, w drugim artykule pisałem, że “RODO” przeplata się z wieloma innymi obszarami jak Cyberbezpieczeństwo, Bezpieczeństwo Informacji (KRI/ISO27001) oraz że często IOD daje nam tylko “złudzenie” bezpieczeństwa.
W trzecim, najistotniejszym artykule, przedstawiłem Państwu konkretnie plusy i minusy każdego modelu wyboru IODa (dodatek funkcyjny, pełen etat oraz różne formy outsourcingu) oraz checklistę, aby zrobić samoocenę wybranego modelu IODa.
W tym artykule przedstawię Państwu konkretne konsekwencje, jakie ponieśli Administratorzy Danych, który wybrali niewłaściwy model.
Przy każdej karze UODO informuję, że kara jest nie tylko po to, aby dana organizacja się nawróciła, ale również jest instrukcją dla innych Administratorów Danych, którzy mają uczyć się na błędach, bo uczenie się na czyiś błędach jest najtańszą formą.
Natomiast refleksja i wyciąganie wniosków z błędów jest jedną z najwyższych form mądrości i zapobiegania. Jak to usłyszałem ostatnio “Dorośli uczą się poprzez refleksje”.
Przykładowe kary i decyzje związane z funkcją Inspektora Ochrony Danych (IOD)/ Data Protection Officer (DPO) (Polska + UE)
Podmiot | Wysokość kary | Główne naruszenie / powód | Zaniedbanie związane z IOD | Źródło |
|---|---|---|---|---|
Powiatowy Inspektorat Nadzoru Budowlanego w Częstochowie | 25 000 zł | Niewyznaczenie IOD, brak publikacji danych kontaktowych IOD oraz brak zgłoszenia do UODO | Brak formalnego powołania IOD, brak możliwości realizacji ustawowych zadań IOD | https://uodo.gov.pl/pl/138/3421 |
Toyota Bank Polska S.A. | 576 220 zł | Brak niezależności IOD; pominięcie profilowania w RCP; brak Oceny Skutków (DPIA) | IOD podlegał dyrektorowi zarządzającemu procesami przetwarzania (konflikt interesów); brak skutecznych audytów RCP i DPIA | https://uodo.gov.pl/pl/138/3519
https://uodo.gov.pl/decyzje/DKN.5112.14.2022
https://uodo.gov.pl/pl/138/3889 |
Spółka Specer | 11 365 zł | Prezes spółki był jednocześnie IOD | Brak niezależności IOD – IOD nie może raportować do samego siebie | https://uodo.gov.pl/pl/138/3897 |
Uniwersytet z siedzibą w D. – Decyzja Prezesa UODO DKN.5110.16.2022 | brak kary pieniężnej (środek naprawczy – upomnienie) | Konflikt interesów IOD – odwołanie do praktyki Belgii i Niemiec | Wskazanie kryteriów konfliktu interesów: samokontrola, brak regulacji wewnętrznych, odpowiedzialność operacyjna IOD | https://orzeczenia.uodo.gov.pl/document/urn%3Andoc%3Agov%3Apl%3Auodo%3A2022%3Adkn_5110_16/content |
Operator telekomunikacyjny (Belgia) | 50 000 € | Konflikt interesów – DPO (IOD) pełnił jednocześnie funkcje kierownika audytu/ryzyka/zgodności | IOD kontrolował obszary, za które był operacyjnie odpowiedzialny | https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-141-2021.pdf |
Bank (Belgia) | 75 000 € | Połączenie funkcji DPO z innymi zadaniami powodującymi konflikt interesów | Brak zapewnienia niezależności DPO zgodnie z art. 38 ust. 6 GDPR | https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-141-2021.pdf |
Spółka e-commerce (Niemcy) | kara w toku (nieostateczna) | Wewnętrzny DPO wykonywał zadania, które następnie sam kontrolował | Oczywisty konflikt interesów – brak rozdziału ról decyzyjnych i kontrolnych | https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220920-BlnBDI-PM-Bussgeld-DSB.pdf |
Powyżej przekazałem tylko przykładowe kary, jednakże wiele kar nakładanych przez UODO jest za to co nie zostało zrobione: nieodpowiednie środki organizacyjne i techniczne z art. 24 RODO, brak analizy ryzyka czy też brak odpowiedniej współpracy z Prezesem UODO.
Przykładowo McDonald’s dostał rekordową karę 17 mln za m.in. brak Analizy Ryzyka w podmiocie przetwarzającym.
A Główny Geodeta Kraju otrzymał w sumie aż 3 kary za niezgłoszenie naruszenia, brak współpracy oraz nadmiarowe zbieranie danych.
Podmiot | Wysokość kary | Główne naruszenie / powód | Zaniedbanie IOD | Źródło |
|---|---|---|---|---|
Główny Geodeta Kraju | 100 000 zł | Brak współpracy z Prezesem UODO – utrudnianie kontroli, nieudostępnienie informacji i dokumentów | Brak realnego nadzoru nad obowiązkami administratora, niewłaściwe wsparcie w kontaktach z organem nadzorczym, brak zapewnienia zgodności procedur kontrolnych z RODO | https://uodo.gov.pl/decyzje/DKN.5112.13.2020 |
Główny Geodeta Kraju | 60 000 zł | Nieprawidłowe postępowanie w związku z naruszeniem ochrony danych osobowych (Geoportal.gov.pl) – brak terminowego zgłoszenia naruszenia i brak zawiadomienia osób, których dane dotyczą | Brak skutecznego doradztwa w zakresie oceny ryzyka naruszenia, brak rekomendacji zgłoszenia naruszenia do UODO oraz poinformowania osób, których dane dotyczą | https://lexdigital.pl/wzory/wp-content/uploads/2022/12/Kary-Prezesa-Urzedu-Ochrony-Danych-Osobowych-2019-2022-LexDigital.pdf |
Główny Geodeta Kraju | 100 000 zł | Naruszenie obowiązków administratora danych poprzez brak zapewnienia transparentności i rozliczalności wobec UODO | Nieskuteczne egzekwowanie zasady rozliczalności, brak działań zapewniających zgodność organizacji z art. 5 i 31 RODO | https://www.rp.pl/dane-osobowe/art616661-uodo-100-tys-zl-kary-dla-glownego-geodety-kraju-za-naruszenie-rodo |
McDonald’s Polska Sp. z o.o. | 16 932 657 zł | Niewdrożenie odpowiednich procedur weryfikacji podmiotu przetwarzającego oraz brak kontroli nad przetwarzaniem danych.
Naruszenie poufności danych pracowników – nieuprawniony dostęp osób trzecich, brak odpowiednich środków technicznych i organizacyjnych.
Długotrwałe przetwarzanie danych w warunkach wysokiego ryzyka bez adekwatnych zabezpieczeń | Brak audytów procesora, brak egzekwowania umów powierzenia, brak działań minimalizujących ryzyko naruszeń.
Brak eskalacji ryzyk do najwyższego kierownictwa, brak realnego wpływu IOD na decyzje organizacyjne.
Brak rzetelnej analizy ryzyka, brak skutecznych rekomendacji dotyczących zabezpieczeń, niewystarczający nadzór nad procesorem danych | https://uodo.gov.pl/pl/138/3827 |
Gdyby IOD odpowiednio często weryfikował poprzez audyt, analizy ryzyka, oceny skutków oraz odpowiednio współpracował z organem nadzorczym UODO to większości naruszeń i kar by nie było.
Poniżej zbiorcze “lekcje”:
- Administrator musi skutecznie wyznaczyć IOD, opublikować jego dane i zawiadomić organ nadzorczy.
- IOD powinien podlegać bezpośrednio pod Administratora Danych w przeciwnym przypadku “kontroluje dział, w którym pracuje”.
- Zadaniem IODa jest weryfikacja, czy w RCP znajdują się wszystkie czynności przetwarzania danych osobowych oraz czy są aktualne.
- Weryfikacja polega m.in. na regularnych audytach całościowych (czyli sprawdzanie ogólnego stanu zdrowia “RODO” czy też wyrywkowe audyty cząstkowe np. konkretnej czynności przetwarzania danych osobowych.
- Prezes nie może być jednocześnie IOD, ponieważ IOD “musi być niezależny od władz spółki, by móc jej raportować o zagrożeniach”.
Podsumowując:
Jak widać najczęstsze „zaniedbania IOD” karane w praktyce to: powierzenie funkcji osobom o sprzecznych obowiązkach, gdzie zachodzi konflikt interesów, brak zapewnienia niezależności i odpowiednich zasobów/czasu, brak przeprowadzenia lub udokumentowania audytów, oceny skutków dla ochrony danych (DPIA), nieprowadzenie rejestru czynności przetwarzania lub pominięcie istotnych wpisów (np. profilowanie).
Pytania kontrolne:
- Czy Administrator Danych powołał niezależnego IOD?
- Czy IOD jest formalnie powołany i czy jego dane kontaktowe są publicznie dostępne na WWW / BIP tak, aby łatwo było dostać kontakt do IOD?
- Czy Twój IOD podlega bezpośrednio tylko i wyłącznie pod Administratora Danych?
- Czy Twój IOD nie wykonuje również innych czynności na danych osobowych, co powoduje, że kontroluje dział, w którym pracuje?
- Czy Twój IOD regularnie przeprowadza audyty, analizy ryzyka, których rezultatem jest raport ze wskazaniem co jest zgodne z przepisami prawa, a co wymaga natychmiastowej poprawy.
- Czy Administrator Danych zapewnia wdrażanie rekomendacji IODa?
- Czy IOD przeprowadza regularne szkolenia z Ochrony Danych Osobowych?
Więcej decyzji UODO na stronie: https://uodo.gov.pl/pl/p/decyzje
Kara finansowa to jedno, ale drugie to konsekwencje, które mogą kosztować organizację najwięcej: utrata reputacji i zaufania, stres, utrata czasu i zasobów, gaszenie pożarów zamiast planowego działania.
Jeśli masz obawy przy jakimkolwiek punkcie to znak, że warto rozważyć przeprowadzenie Audytu Ochrony Danych Osobowych przez firmę zewnętrzną, aby zweryfikować, czy Administrator Danych zapewnia odpowiednią Ochronę Danych Osobowych.
Domykasz budżet 2025 i planujesz szkolenia na 2026?
Od 10.12 do 22.12 uruchamiamy świąteczną promocję na kursy video. Udostępniamy wszystkie kursy w obniżonej cenie 20% taniej.
To prosta opcja, by zabezpieczyć kompetencje zespołu w obszarach RODO, uDODO, Przeciwdziałaniu mobbingowi czy Sygnalistów i wejść w nowy rok z gotowym planem rozwoju dla współpracowników!
Masz cały rok kalendarzowy na skorzystanie ze szkoleń.
W promocji:
- Kurs: Ochrona Sygnalistów,
- Kurs: Przeciwdziałanie mobbingowi i dyskryminacji w pracy,
- Kurs: uDODO w Straży Leśnej,
- Kurs: Ochrona Danych Osobowych dla kuratorów sądowych,
- Kurs: Ochrona Danych Osobowych we wspólnotach mieszkaniowych i spółdzielniach,
- eLearning: Ochrona Danych Osobowych.
Dlaczego teraz?
Grudzień to ostatni moment na zaplanowanie i zafakturowanie szkoleń, z których pracownicy skorzystają w 2026 r. Kupujesz teraz – realizujesz wtedy, kiedy potrzebujesz. Dodatkowo – kursy są teraz w korzystnym wariancie cenowym!
Dodatkowo nie nakładamy presji czasu – Kup dzisiaj – zrealizuj, kiedy chcesz!
Dodatkowo, jeżeli zastanawiasz się kogo powołać na Inspektora Ochrony Danych w swojej Organizacji, zachęcamy do lektury poprzednich artykułów Prezesa Sebastiana Strzech z cyklu “Kogo na IODa?”. Rynek usług IOD zmienił się szybciej, niż większość Organizacji zdążyła to zauważyć, a błędny wybór IODa kosztuje dziś pieniądze, bezpieczeństwo i reputację. W artykułach pokazano, jak rozpoznać, czy obecny model współpracy naprawdę działa i co zrobić, by nie stracić kontroli nad ochroną danych. Seria artykułów to praktyczny przewodnik, który pomaga odpowiedzieć sobie na pytanie – Kto powinien pełnić funkcję IODa i jakie kompetencje są niezbędne. Kilka minut lektury może zaoszczędzić wiele miesięcy stresu.
Cykl blogowy: Kto powinien pełnić funkcję IODa, aby nie stracić kontroli nad bezpieczeństwem danych?
Część 1: DLACZEGO FIRMY ZMIENIAJĄ IOD-ÓW I CO ICH DO TEGO POPYCHA?
Część 2: WYZWANIA ADMINISTRATORA DANYCH – NIE TYLKO RODO. ROLA IOD W NOWEJ RZECZYWISTOŚCI
Autor:
Sebastian Strzech
Prezes Zarządu CompNet Sp. z o.o. / IOD
Sebastian Strzech – od 2002 roku pomagam organizacjom nie tylko spełniać wymogi prawa, ale budować realne bezpieczeństwo danych. W świecie, gdzie cyberzagrożenia nie biorą urlopu, nie ma miejsca na przypadek. Ten cykl to efekt tysięcy godzin audytów, wdrożeń i rozmów z administratorami danych, którzy chcą działać świadomie. Jeśli też jesteś jednym z nich – porozmawiajmy.
