Milionowa kara dla Poczty Polskiej. Od tego, co zrobili z naszymi danymi, skacze ciśnienie

Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę karę w wysokości 978 tys. zł za konflikt interesów przy ochronie danych osobowych. Inspektor, który miał stać na straży RODO, jednocześnie zarządzał obszarem, który powinien wszystko kontrolować. Brzmi jak żart z czasów PRL-u, ale to prawda. UODO uznał, że w takiej konfiguracji niezależność istnieje tylko z nazwy.

Sprawa zaczęła się od incydentu z dokumentem PIT-11, do którego dostęp uzyskała osoba nieuprawniona. Zgłoszenie uruchomiło postępowanie, a przy okazji odsłoniło coś znacznie poważniejszego niż pojedynczy błąd.

Okazało się, że inspektor ochrony danych w Poczcie Polskiej pełnił jednocześnie funkcję kierowniczą w obszarze przetwarzania danych osobowych. W skrócie: nadzorował procesy, za które sam odpowiadał. Kontroler i kontrolowany w jednej osobie.

UODO nie miał wątpliwości. Przy takim układzie nie da się mówić o realnym, niezależnym nadzorze i ochronie danych klientów. W spółce zabrakło analizy konfliktu interesów, jasnego podziału obowiązków i zasad na wypadek kolizji ról.

RODO dopuszcza elastyczne rozwiązania organizacyjne, ale jedno jest nie do podważenia. Inspektor ma patrzeć firmie na ręce, a nie kontrolować samego siebie. Tu ta granica została wyraźnie zatarta: na szkodę obywateli.

Wysokość kary ustalono na podstawie obrotów spółki za 2024 rok. Naruszenie oceniono jako średnie, ale kluczowy był jego systemowy charakter oraz fakt, że to nie pierwsze problemy Poczty Polskiej z ochroną danych. Spółka w trakcie postępowania rozdzieliła funkcje i podporządkowała inspektora bezpośrednio zarządowi. To krok w dobrą stronę, ale, jak podkreślił UODO, nie kasuje wcześniejszych zaniedbań.

Dla innych dużych organizacji to dość czytelna lekcja. Inspektor ochrony danych nie może być własnym szefem. Kiedy nadzór zaczyna pilnować sam siebie, kończy się to nie tylko wstydem, ale i rachunkiem z sześcioma zerami.