UODO kontroluje niezależność IODO – sprawdź wytyczne i uniknij kar!
Uwaga! Według wytycznych UODO Inspektor Ochrony Danych (IOD) nie może wykonywać części obowiązków. Urzędnicy mają nowe wytyczne, których nieprzestrzeganie grozi karami. Jak ich uniknąć? Sprawdź nasz poradnik!

W lutym 2025 r. na stronach Urzędu Ochrony Danych Osobowych ukazała się druga wersja Poradnika na gruncie RODO Obowiązki administratorów związane z naruszeniami ochrony danych osobowych. Treść Poradnika wywołała poruszenie w środowisku ochrony danych osobowych ze względu na wyrażane w jego treści wskazówki roli, jaką ma mieć Inspektor Ochrony Danych u administratorów. Zaznaczyć należy, że Prezes UODO nie ma uprawnień do dokonywania wiążącej wykładni przepisów prawa, a treści zamieszczone w Poradniku stanowią wskazówki będące emanacją uprawnień Prezesa UODO w zakresie upowszechnia wiedzy.
Poradnik jednak daje administratorom i podmiotom przetwarzającym sygnał, jak Prezes UODO podchodzi i będzie w przyszłości podchodził do pełnienia roli IOD w organizacji. Powyższe podejście ma już też wymiar praktyczny, bowiem przykładowo Prezes UODO nałożył już w grudniu 2024 r. na Toyota Bank Polska S.A. karę w wysokości około 260 tys. zł za nieprawidłowe usytuowanie inspektora ochrony danych osobowych, niezapewniające mu niezależności. Myślę, że w razie kontroli UODO, należy się spodziewać, że ocena roli IOD będzie sprawdzana i weryfikowana w tym kontekście.
Data Protection Impact Assessment (ocena skutków dla ochrony danych). Sprawdź, jak wypełnić DPIA!
Inspektor Ochrony Danych - rola według RODO
Ogólne Rozporządzenie (RODO) w motywie 97 RODO i art. 37-39 RODO określają rolę, pozycję u administratora, zadania i obowiązki Inspektorów Ochrony Danych. Jednym z najważniejszych elementów statuujących rolę IOD w świetle powyżej cytowanych przepisów jest gwarancja statusu niezależności IOD, a w zakresie jego odpowiedzialności powinien on być wolny od konfliktu interesów. Gwarantami powyższego jest przede wszystkim to, że:
- Inspektor Ochrony Danych ma podlegać bezpośrednio pod najwyższe kierownictwo administratora
- powinien być właściwie i niezwłocznie włączany przez administratora we wszystkie sprawy dotyczące ochrony danych osobowych
- powinien też otrzymać od administratora niezbędne zasoby, w tym dostęp do wiedzy fachowej, dotyczące sprawowania jego funkcji oraz dostęp do danych osobowych i operacji przetwarzania
- nie może też otrzymywać instrukcji dotyczących wykonywania tych zadań.
Prowadzisz JDG? Dokumentacja RODO przygotowana przez LexDigital to kompletny pakiet, zawierający m.in rejestr kategorii czynności przetwarzania i wzór umowy powierzenia. Rozwiąż kwestię dokumentacji jednym kliknięciem!
Zadania IOD w zakresie ochrony danych osobowych
Poradnik wskazuje, że zadania IOD to przede wszystkim:
- doradzanie organizacji i personelowi w zakresie ochrony danych osobowych
- monitorowanie przestrzegania przepisów RODO w organizacji
- podnoszenie świadomości personelu na temat ochrony danych osobowych
- współpraca z organem nadzorczym
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego i osób, których dane dotyczą.
W zakresie obsługi naruszeń ochrony poradnik wskazuje, że rola IOD polega na:
- pomocy administratorowi w zapobieganiu naruszeniom, np. poprzez promowanie w organizacji wiedzy o ochronie danych osobowych, organizowaniu szkoleń oraz formułowaniu zaleceń dotyczących bezpieczeństwa przetwarzania danych
- udzielaniu wskazówek dotyczących odpowiedniego reagowania na naruszenia ochrony danych osobowych, w tym zaradzania im, zgłaszania ich Prezesowi UODO oraz zawiadamiania osób
- doradztwie w zakresie dokumentowania naruszeń i zarządzania dokumentacją
- przekazywaniu dodatkowych informacji o naruszeniach organowi nadzorczemu i osobom, których dane dotyczą.
Poradnik wymienia również czynności, których Inspektor Ochrony Danych w procesie obsługi naruszeń ochrony danych osobowych nie może wykonywać, bowiem mogą one wpłynąć na jego niezależność.
Poradnik w tym zakresie wskazuje, że Inspektor Ochrony Danych nie może:
- zgłaszać naruszeń ochrony danych osobowych Prezesowi UODO w imieniu administratorów ani podpisywać i wysyłać takich zgłoszeń
- zawiadamiać w imieniu administratorów osób o naruszeniach ochrony danych osobowych
- dokumentować naruszeń ochrony danych osobowych w imieniu administratorów (w szczególności jeśli wiązałoby się to z ustalaniem celów i sposobów przetwarzania danych osobowych albo określeniem działań zaradczych)
- podejmować zobowiązań dotyczących bezpieczeństwa przetwarzania w imieniu administratorów lub podmiotów przetwarzających
- działać na podstawie pełnomocnictwa w sprawach dotyczących ochrony danych osobowych.
Jestem przekonany, że część wymienionych zadań do tej pory u dużej ilości administratorów wykonywali de facto IOD, traktując je jako część swojego zakresu obowiązków. Wskazówki na pewno pozwolą na to, aby administratorzy mogli rozdzielić obowiązki IOD innego personelu zajmującego się kwestią obsługi naruszeń ochrony danych osobowych.
Co, gdy incydent RODO przydarzy się w dni wolne lub święta? Opanuj sytuację i sprawdź nasz poradnik
Zapewnienie zgodności z wytycznymi UODO
Choć poradnik w zakresie obsługi naruszeń danych osobowych kompleksowo wyjaśnił zakres czynności, które IOD może wykonywać oraz tych, których nie powinien, to z drugiej strony otworzył w środowisku ochrony danych osobowych dyskusję w zakresie pozostałych obowiązków wynikających z RODO i roli IOD.
Przedstawiam w związku z tym otwarty i przykładowy zakres działań, których w mojej opinii IOD nie powinien realizować, aby nie narażać administratora na ryzyko nałożenia przez Prezesa UODO kary administracyjnej:
Jakich czynności nie powinien wykonywać IOD, żeby zachować niezależność?
- sprawować u administratora roli, która powoduje, że może popaść w konflikt interesów
- prowadzić rejestrów: czynności przetwarzania i kategorii czynności przetwarzania
- określać celów i sposobów przetwarzania danych
- przygotowywać treści klauzul zgód lub obowiązków informacyjnych
- decydować o podstawie prawnej przetwarzania danych osobowych
- opracowywać umowy powierzenia przetwarzania danych osobowych
- opracowywać postanowień w relacjach z podmiotami trzecimi w zakresie danych osobowych
- opracowywać środki techniczne lub organizacyjne, podejmować decyzji o stosowanych środkach
- przeprowadzać ocenę skutków dla ochrony danych osobowych
- wydawać poleceń podmiotowi przetwarzającemu.
Jak zapewnić niezależność IOD? Możliwe rozwiązania z zakresu prawa
Praktyka u wielu administratorów, szczególnie tych mniejszych, jest taka, że IOD jest w Organizacji jedyną osobą odpowiedzialną za ochronę danych osobowych. Z biznesowego punktu widzenia jest to słuszne. Wyspecjalizowana osoba dba o ochronę danych osobowych, jednocześnie nie generuje nadmiernych kosztów u administratora. Przy obecnej praktyce Ustawodawca powinien w moim odczuciu poszukać rozwiązania pozwalającego, aby IOD w mikro i małych podmiotach (szczególnie tych, które mogą a nie muszą powoływać Inspektora) mógł wykonywać większą ilość obowiązków dotyczących ochrony danych osobowych niż obecnie pozwalają przepisy. W mojej opinii będzie to z pewnością z korzyścią dla ochrony i bezpieczeństwa danych osobowych w takiej Organizacji.
Co jest potrzebne (biorąc pod uwagę aktualny stan prawny, podejście organów nadzorczych i zasadę rozliczalności) do tego, żeby IOD mógł sprawować swoją funkcję niezależnie? Administratorzy danych powinni w pierwszej kolejności zweryfikować, czy z jakiegoś powodu IOD nie wykonuje obowiązków, które nie powodują, że jego rola w Organizacji nie jest prawidłowa.
LexDigital jako firma specjalizująca się w doradztwie z tego obszaru kompleksowo wyręcza swoich klientów zarówno w pełnieniu funkcji IOD, jak i wsparciu administratorów w realizacji obowiązków wynikających z RODO. Zapewniamy niezależność między innymi poprzez rozdzielenie obu usług, tj. outsourcingu funkcji IOD i wsparcia administratorów danych w realizacji obowiązków wynikających z RODO oraz dedykowania osobnych zespołów do każdego z tych obszarów.
Outsourcing funkcji IODO. Zadbamy o Twoje bezpieczeństwo. Dowiedz się więcej.
Niezależność IOD - najczęściej zadawane pytania
Czego nie może IOD?
IOD musi być niezależny. Najlepiej gruntownie sprawdzić w organizacji, czy wszystkie procedury na pewno są ustawione zgodnie z wytycznymi. Dobrym rozwiązaniem może być audyt przeprowadzony przez ekspertów, ale skrótowo można powiedzieć, że IOD nie może działać w imieniu administratorów. Nie może więc w imieniu administratora wysyłać zgłoszeń o naruszeniu, dokumentować incydentów, podejmować zobowiązań dotyczących bezpieczeństwa przetwarzania czy działać na podstawie pełnomocnictwa.
Jaka kara za brak niezależności IOD?
Wysokość możliwej kary RODO (kary finansowe) reguluje art. 83 Rozporządzenia. Zgodnie z tym przepisem wysokość kary może wynosić do 10 mln lub do 20 mln EUR, a w przypadku przedsiębiorstwa — do 2% lub 4% całkowitego rocznego światowego obrotu.
Prezes UODO nałożył w grudniu 2024 r. karę w wysokości około 260 tys. zł na Toyota Bank Polska S.A. za nieprawidłowe usytuowanie inspektora ochrony danych osobowych, niezapewniające mu niezależności.
Za co odpowiada IOD?
Zadania IOD to przede wszystkim doradzanie organizacji i personelowi w zakresie ochrony danych osobowych, monitorowanie przestrzegania przepisów RODO w organizacji, podnoszenie świadomości personelu na temat ochrony danych osobowych, współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego dla organu nadzorczego i osób, których dane dotyczą.
Inspektor Ochrony Danych Osobowych - pełna lista zadań. Sprawdź nasz artykuł!
Potrzebujesz wsparcia RODO? Dostosujemy się do Twoich potrzeb
Wiemy, że potencjalne naruszenia RODO trzeba traktować z największą powagą. Dlatego jeśli masz jakiekolwiek wątpliwości, napisz do nas – umówimy bezpłatną konsultację i odpowiemy na wszelkie pytania. Odezwiemy się w ciągu 24 godzin.
Nie ryzykuj kar za brak niezależności Inspektora Ochrony Danych. Kliknij przycisk, aby umówić bezpłatną 15-minutową konsultację i otrzymać plan naprawczy [CHCĘ UNIKNĄĆ KAR]