W dobie coraz bardziej restrykcyjnych wymagań dotyczących ochrony danych osobowych, wiele firm zadaje sobie jedno kluczowe pytanie: czy funkcję Inspektora Ochrony Danych (IOD) można powierzyć prezesowi zarządu? Na pierwszy rzut oka może wydawać się to wygodne rozwiązanie – prezes zna firmę najlepiej, ma dostęp do kluczowych informacji i kontroluje procesy. Jednak RODO mówi jednoznacznie: to poważne naruszenie prawa, które skutkuje konfliktem interesów i może skończyć się dotkliwą karą finansową.
Konflikt interesów – dlaczego prezes nie może być IOD?
Zgodnie z art. 38 ust. 6 RODO, funkcja Inspektora Ochrony Danych nie może być łączona z innymi zadaniami, które mogłyby prowadzić do konfliktu interesów. To oznacza, że osoba odpowiedzialna za wdrażanie i nadzorowanie zgodności z przepisami RODO nie może jednocześnie decydować o celach i sposobach przetwarzania danych.
Prezes zarządu, z samej definicji swojej funkcji, określa strategię działania firmy, w tym również sposób wykorzystywania danych osobowych. Jeżeli ta sama osoba miałaby również oceniać legalność własnych decyzji – niezależność IOD staje się fikcją.
To tak, jakby główny księgowy sam siebie audytował albo dyrektor marketingu kontrolował zgodność własnych kampanii z prawem. To nie tylko nieefektywne – to nielegalne.
Oficjalne stanowisko UODO – decyzja, która zamyka dyskusję
W 2025 roku Prezes Urzędu Ochrony Danych Osobowych wydał precedensową decyzję (sygn. DKN.5131.7.2025), która potwierdziła zakaz łączenia funkcji IOD z zarządzaniem firmą. W sprawie spółki z branży medycznej, która wyznaczyła prezesa zarządu na Inspektora Ochrony Danych, nałożono administracyjną karę finansową w wysokości 11 365 zł.
Co ważne, UODO uznał, że naruszenie było świadome i długotrwałe (trwało blisko 6 lat), a wszystkie przedstawione przez firmę argumenty zostały odrzucone jako niezasadne. Dotyczyło to zarówno braku środków na zatrudnienie zewnętrznego specjalisty, jak i rzekomej „wewnętrznej analizy”, która rzekomo wykazywała brak konfliktu.
Przestroga dla wszystkich organizacji – kara może sięgać nawet 10 milionów euro
RODO przewiduje w takich przypadkach sankcje administracyjne sięgające 10 mln euro lub 2% rocznego globalnego obrotu przedsiębiorstwa – w zależności od tego, która wartość jest wyższa. Choć w przytoczonym przypadku kara nie była wysoka, to stanowi jasny sygnał: tolerowanie konfliktu interesów to łamanie przepisów.
Czym dokładnie jest konflikt interesów IOD?
Konflikt interesów zachodzi wtedy, gdy bezstronność i niezależność Inspektora są zagrożone przez inne jego obowiązki lub zależności organizacyjne. Prezes, który zarządza firmą, nie może jednocześnie kontrolować siebie – to logicznie i prawnie wykluczone.
Równie problematyczna jest sytuacja, gdy IOD formalnie nie pełni stanowiska kierowniczego, ale de facto podlega prezesowi, a jego działania są podporządkowane decyzjom zarządu. To tzw. ukryty konflikt interesów, który również stanowi naruszenie RODO.
Które stanowiska są niekompatybilne z funkcją IOD?
Zgodnie z wytycznymi Europejskiej Rady Ochrony Danych (dawniej Grupa Robocza Art. 29), funkcji IOD nie powinny pełnić osoby zajmujące stanowiska decyzyjne w firmie, takie jak:
| Stanowisko | Powód konfliktu interesów |
| Prezes zarządu | Ustala cele i sposoby przetwarzania danych |
| Dyrektor generalny (CEO) | Wyznacza kierunki strategiczne i zarządza całością organizacji |
| Dyrektor operacyjny (COO) | Zarządza operacjami, które obejmują przetwarzanie danych |
| Dyrektor finansowy (CFO) | Przetwarza dane pracowników i klientów |
| Dyrektor marketingu (CMO) | Realizuje działania profilujące i analityczne |
| Dyrektor HR | Obsługuje dane wrażliwe kandydatów i pracowników |
| Dyrektor IT | Odpowiada za techniczne aspekty bezpieczeństwa danych |
Zasada jest prosta: jeśli ktoś ma wpływ na to, jak i po co przetwarzane są dane – nie może pełnić funkcji ich niezależnego nadzorcy.
A co z małymi firmami i startupami?
Częstym pytaniem jest: „Jesteśmy małą firmą – czy naprawdę musimy powoływać zewnętrznego IOD?”. Jeśli prowadzisz duże przetwarzanie danych szczególnych kategorii (np. zdrowotnych, biometrycznych, dotyczących wyroków) – odpowiedź brzmi: tak.
Ale brak budżetu nie usprawiedliwia łamania przepisów. Co więcej – koszty outsourcingu funkcji IOD są przewidywalne i znacznie niższe niż potencjalna kara. To również sposób na zyskanie dostępu do ekspertów, którzy znają najnowsze interpretacje przepisów, orzecznictwo TSUE i praktykę UODO.
Co zrobić, jeśli prezes pełni dziś funkcję IOD?
Jeśli w Twojej organizacji prezes zarządu lub inna osoba decyzyjna formalnie pełni funkcję IOD, musisz działać natychmiast. Poniżej uproszczony plan działań naprawczych:
- Zidentyfikuj konflikt – wykonaj audyt wewnętrzny lub zleć analizę zewnętrzną.
- Odwołaj osobę nieuprawnioną – zgodnie z procedurą i dokumentacją korporacyjną.
- Powołaj nowego IOD – osobę wewnętrzną (bez wpływu na przetwarzanie danych) lub podmiot zewnętrzny.
- Zgłoś zmianę do UODO – przez platformę biznes.gov.pl w ciągu 14 dni od zmiany.
Oferta Eduodo
Jeśli chcesz mieć temat RODO „pod kontrolą” bez konfliktu interesów outsourcing IOD firmie Eduodo – zapewnimy niezależnego inspektora, stały nadzór i szybkie wsparcie merytoryczne. Realizujemy kompleksowe audyty RODO (mapowanie danych, oceny ryzyka, DPIA), porządkujemy rejestry czynności, umowy powierzenia, polityki i klauzule informacyjne, a także wdrażamy praktyczne procedury reagowania na incydenty i obsługi praw osób. Reprezentujemy klientów przed UODO, przygotowujemy odpowiedzi na wystąpienia organu i prowadzimy szkolenia (stacjonarne oraz e-learning) dla zespołów HR, IT, sprzedaży i zarządu. Pracujemy w elastycznych abonamentach z jasnym SLA, raportujemy postępy i przydzielamy dedykowanego konsultanta. Z eduodo zyskujesz realną zgodność, minimalizację ryzyk i spokój operacyjny – bez obciążania wewnętrznych kadr.