Ochrona danych osobowych to priorytet wszystkich organizacji. Wymóg ten regulowany jest przez Rozporządzenie o Ochronie Danych Osobowych (RODO), które nakłada na firmy obowiązek zapewnienia, że dane klientów, dostawców, pracowników i innych interesariuszy są chronione w odpowiedni sposób. Nad utrzymaniem wysokich standardów ochrony danych czuwać powinien Inspektor Ochrony Danych (IOD). Czasami jednak nawet w jego działalności zdarzają się nieprawidłowości. Jak pokazuje poniższy przykład, mogą one prowadzić do poważnych konsekwencji.

Przykład z sektora medycznego

Przez niemal sześć lat prezes zarządu jednej z firm medycznych pełnił równocześnie rolę Inspektora Ochrony Danych. Sytuacja ta sprzeczna jest z podstawowymi zasadami RODO, które zakładają niezależność IOD od innych struktur decyzyjnych w firmie. Taka sytuacja gwarantuje, że inspektor będzie mógł obiektywnie ocenić, czy przetwarzanie danych w organizacji odbywa się zgodnie z regulacjami prawnymi. W wyniku naruszenia tych zasad, Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, nałożył na spółkę karę w wysokości 11 365 złotych.

Incydent związany z błędnym wydaniem dokumentów pacjentowi przez tę firmę był impulsem do dalszego postępowania administracyjnego przez PUODO. W trakcie dochodzenia okazało się, że firma była świadoma wymogu niezależności IOD, ale uznała swoje rozwiązanie za optymalne. Twierdziła, że prezes, dzięki swoim kompetencjom, zapewnia najlepszą opiekę nad danymi pacjentów. Niestety, taka interpretacja była błędna – szczególnie, że RODO wyraźnie zaznacza konieczność unikania konfliktu interesów w takich sytuacjach.

Pułapki błędnej interpretacji przepisów

PUODO zwrócił uwagę na fakt, że firma błędnie zrozumiała zapisy RODO, argumentując, że w sektorze medycznym ochrona danych i dokumentacji to jedno i to samo, a prezes jako IOD nie stwarza konfliktu interesów. W rzeczywistości, chociaż ochrona dokumentacji medycznej i danych osobowych są ze sobą powiązane, rola IOD wymaga niezależności, by móc skutecznie identyfikować ryzyka i wskazywać sposoby ich minimalizacji.

Argumentacja firmy, jakoby specyfika działalności medycznej wykluczała możliwość wystąpienia konfliktu interesów, została odrzucona przez PUODO. Aby inspektor skutecznie realizował swoje zadania, musi być wolny od nacisków wynikających z innych ról i obowiązków w przedsiębiorstwie. Jest to niezbędne, by mógł bezstronnie ocenić sytuację i sugerować niezbędne zmiany.

Przypadek ten stanowi przestrogę dla każdej organizacji, która powinna dokładnie analizować swoje struktury zarządzania danymi, aby uniknąć konfliktów interesów i związanych z nimi sankcji. Niezależność IOD jest nie tylko wymogiem prawnym, ale przede wszystkim narzędziem zapewniającym bezpieczeństwo danych osobowych w każdej firmie.

Żródło: https://uodo.gov.pl/pl/138/3897