powrót 24.07.2025

Rola i zadania IOD – przegląd stanowisk UODO

W ostatnim czasie trwa ożywiona dyskusja na temat tego, jaka jest rola i zadania IOD w firmie. Przyczyniły się do tego m.in. decyzje i wytyczne wydane przez Urząd Ochrony Danych Osobowych („UODO”). Niektóre z nich budzą duże kontrowersje, w szczególności kwestie związane z tym, na czym polega praca IOD przy ocenie naruszeń, wyrażone w poradniku dotyczącym obowiązków administratorów związanych z naruszeniami ochrony danych osobowych. W wypowiedziach UODO widać bardzo wyraźnie tendencję do podkreślania roli inspektora ochrony danych (IOD) jako roli ściśle doradczej oraz wykluczania możliwości realizacji przez IOD czynności obciążających administratora danych z uwagi na konflikt interesów. Rodzi to pytania o przyszłość zawodu i to, czym zajmuje się inspektor ochrony danych w praktyce oraz jak organizować kwestie danych osobowych w przedsiębiorstwach.

Artykuł ukazał się w Magazynie ODO nr 32, wydanie lipiec-wrzesień 2025, a jego autorką jest radca prawny Ewa Kuczyńska. Zapraszamy do lektury!

Jakie są obowiązki inspektora ochrony danych?

Ustawowe zadania inspektora ochrony danych zostały określone w art. 39 RODO. Można je podzielić na kilka głównych kategorii:

  • monitorowanie zgodności z przepisami;
  • doradzanie administratorowi;
  • edukowanie administratora (w tym członków jego personelu);
  • pełnienie przez IOD funkcji punktu kontaktowego;
  • branie udziału w obsłudze naruszeń ochrony danych osobowych.

Analizując to, jakie są zadania inspektora ochrony danych, należy odwołać się do decyzji UODO z dnia 21 sierpnia 2020 r. wydanej w sprawie o sygn. ZSOŚS.421.25.2019. Wynika z niej, że inspektor ochrony danych IOD powinien wypełniać swoje obowiązki „z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, kontekst i cele przetwarzania”. Należy rozumieć to w ten sposób, że inspektor powinien ustalić priorytety w swojej pracy, określając środki i metody działania dostosowane do specyfiki konkretnego administratora. Inspektor powinien skoncentrować się na obszarach o największym ryzyku w zakresie ochrony danych osobowych i w tym kontekście m.in. doradzać administratorowi, jaką metodologię zastosować przy ocenie skutków dla ochrony danych osobowych, które obszary poddać audytowi, jakie szkolenia zaplanować i przeprowadzić, czy też, na które operacje przetwarzania przeznaczyć więcej czasu i zasobów[1]. Konieczność wykonywania zadań przez IOD z należytym uwzględnieniem ryzyka została też wskazana w odpowiedziach UODO na pytania skierowane do urzędu[2].

Narzędziem, które pomaga zrozumieć, co robi inspektor ochrony danych, jest plan audytów. UODO wskazał, że IOD może sporządzać taki plan jako pomoc w prawidłowej realizacji obowiązków inspektora określonych w art. 29 ust. 1 lit b) RODO (monitorowanie przestrzegania RODO, innych przepisów UE lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych).

W ramach monitorowania przestrzegania przepisów RODO inspektor ma bowiem wiele zadań, w szczególności zbieranie informacji o procesach przetwarzania, analizowanie i ocena zgodności przetwarzania z wymogami, czy doradztwo. Sporządzenie planu audytów może pomóc w prawidłowej realizacji obowiązków, zwłaszcza w przypadku dużych organizacji, o dużej ilości procesów przetwarzania danych. UODO zwrócił też uwagę na to, co powinien zawierać plan audytów i w jaki sposób go sporządzać. Istotne jest, aby plan audytów był dostosowany do oceny ryzyka występującego w danej organizacji. Najwyższy priorytet powinien zostać przyznany obszarom, które mają szczególne znaczenie dla systemu ochrony danych osobowych u danego administratora.

UODO wskazał również na elementy, które warto określić, sporządzając plan audytów:

  1. częstotliwość przeprowadzania,
  2. metody, kryteria i zakres poszczególnych audytów,
  3. tryb uruchamiania audytów,
  4. zasady i sposób dokumentowania audytów,
  5. zasady i sposób raportowania wyników audytów.

Czego nie może robić IOD?

UODO wielokrotnie wypowiadał się na temat tego, czego nie może robić IOD. W większości chodzi o zadania zastrzeżone dla administratora danych. Do zakazanych praktyk należą:

prowadzenie rejestrów

Zgodnie z art. 30 ust. 1 i 2 RODO, obowiązek prowadzenia odpowiednio rejestru czynności przetwarzania lub rejestru kategorii czynności przetwarzania należy do administratora / podmiotu przetwarzającego. Nie oznacza to jednak, że IOD nie powinien być w ogóle zaangażowany w tworzenie rejestrów. Wręcz przeciwnie – według UODO, inspektor ochrony danych jako fachowiec, może wspomagać administratora w tworzeniu i prowadzeniu rejestrów, np. poprzez doradztwo[4].

opracowanie wewnętrznej polityki ochrony danych osobowych

W ocenie UODO, wdrożenie polityki jest jednym ze środków bezpieczeństwa, o których mowa w art. 24 RODO. Wobec czego to administrator powinien przygotować politykę, zaś rolą IOD jest dokonywanie jej oceny pod kątem zgodności z przepisami prawa i skuteczności oraz udzielanie opinii i wskazówek dotyczących polityki. Natomiast po przyjęciu polityki IOD powinien monitorować przestrzeganie określonych w niej zasad[5].

nadawanie upoważnień

Administrator ma prawo do upoważnienia innej osoby do nadawania upoważnień, jednak tą osobą nie powinien być IOD z uwagi na możliwy konflikt interesów. Obowiązek nadawania upoważnień wynika z art. 29 oraz 32 ust. 1 i 4 RODO i został nałożony na administratora danych. IOD może natomiast przykładowo doradzić czy udzielić konsultacji w zakresie procedury nadawania upoważnień albo ich treści[6].

W związku z naruszeniem ww. zakazu UODO decyzją z dnia 22 września 2020 r. udzielił upomnienia Szpitalowi w C (decyzja ZWAD.405.31.331.2019)[7].

zawieranie umów powierzenia (str. 192)

Z wyjaśnień UODO wynika, że sporządzenie projektu umowy powierzenia przez IOD może powodować konflikt interesów – z uwagi na występowanie IOD w dwóch sprzecznych rolach. Z jednej strony IOD byłby w takim przypadku zobowiązany do określenia w umowie, jak będzie ukształtowana relacja między administratorem a podmiotem przetwarzającym oraz prawa i zobowiązania stron umowy. Z drugiej strony IOD następnie w ramach swoich ustawowych obowiązków byłby zobowiązany do oceny prawidłowości umowy i zgodności z przepisami[8].

Z przytoczonych stanowisk UODO wynika wyraźnie, że za czynności powodujące konflikt interesów będą uznane tego rodzaju czynności, przy których najpierw inspektor ochrony danych byłby zobowiązany do podejmowania decyzji (np. w zakresie celów i środków dotyczących przetwarzania lub zabezpieczania danych), a następnie musiałby je monitorować lub oceniać.

Obowiązki IOD w procesie obsługi naruszeń

W lutym 2025 r. UODO opublikował poradnik, w którym wyjaśniono, jakie są główne obowiązki IOD podczas incydentów. W tym aspekcie UODO wskazał na doradczą rolę IOD oraz na obowiązek monitorowania procesu obsługi naruszenia. Dlatego administratorzy powinni informować IOD o zaistniałym naruszeniu na jak najwcześniejszym etapie. UODO podkreślił również, że IOD nie powinien wykonywać zadań, które RODO nakłada wprost na administratora danych.

W Poradniku UODO wskazał przykłady działań, które może podejmować IOD. Co robi inspektor ochrony danych?

  1. pomoc w zapobieganiu naruszeniom poprzez promowanie wiedzy o ochronie danych osobowych, organizowanie szkoleń oraz formułowanie zaleceń dotyczących bezpieczeństwa przetwarzania danych;
  2. udzielanie wskazówek dotyczących odpowiedniego reagowania na naruszenia (w tym wskazówek dotyczących zaradzaniu naruszeniom, zgłaszaniu ich czy zawiadamiania osób, których dotyczą);
  3. doradztwo w zakresie dokumentowania naruszeń i zarządzania dokumentacją;
  4. przekazywanie dodatkowych informacji o naruszeniach organowi nadzorczemu i osobom, których dane dotyczą.

UODO wskazał również na czynności, których IOD nie powinien wykonywać. Są to:

  1. zgłaszanie naruszeń do UODO (brak możliwości podpisywania ani wysyłania zgłoszeń);
  2. zawiadamianie podmiotów danych o naruszeniach;
  3. dokumentowanie naruszeń (w szczególności, jeśli wiązałoby się to z ustalaniem celów i sposobów przetwarzania danych osobowych albo określaniem działań zaradczych);
  4. podejmowanie zobowiązań dotyczących bezpieczeństwa przetwarzania w imieniu administratorów albo podmiotów przetwarzających;
  5. działanie na podstawie pełnomocnictwa w sprawach dotyczących ochrony danych osobowych.

Podejmowanie powyższych działań może, w opinii UODO, prowadzić do powstania konfliktu interesów lub powodować naruszenie niezależności IOD. UODO w Poradniku podkreślił, że naruszenie powyższych zasad może skutkować sankcjami administracyjnymi ze strony Prezesa UODO, w tym karami pieniężnymi[9].

Powyższe stanowisko wywołało wiele kontrowersji, w szczególności kwestia dokumentowania naruszeń. Podczas webinaru zorganizowanego w dniu 28 marca 2025 r. przedstawiciel UODO wyjaśnił, że intencją UODO nie była zmiana dotychczasowego stanowiska urzędu na temat zadań IOD, a podkreślenie jego szczególnej roli. Według UODO istotna jest taka organizacja procesu, aby zadania, które wykonuje IOD nie były bezpośrednią realizacją zadań nałożonych na administratora danych. W konsekwencji przykładowo inspektor ochrony danych może prowadzić swoją dokumentację naruszeń, jednak nie powinien jej prowadzić za administratora danych.

Inspektor ochrony danych – pozycja w przedsiębiorstwie

Zwłaszcza biorąc pod uwagę podkreślany przez UODO obowiązek zachowania niezależności IOD i unikania konfliktu interesów, warto zadbać o określenie, jakie są zadania inspektora danych i jego usytuowanie w strukturze organizacyjnej przedsiębiorstwa. Zwłaszcza że naruszenie ww. obowiązków może spowodować nałożenie kary finansowej.

Przykładowo w zeszłym roku UODO nałożył karę finansową w wysokości 261.918 zł (dwieście sześćdziesiąt jeden tysięcy dziewięćset osiemnaście złotych) za złamanie zasady niezależności – niezapewnienie, aby inspektor ochrony danych podlegał bezpośrednio najwyższemu kierownictwu administratora oraz aby nie otrzymywał instrukcji dotyczących wykonywania swoich zadań[10]. W sprawie, której dotyczyła wspomniana decyzja UODO inspektor podlegał służbowo dyrektorowi departamentu odpowiedzialnego za bezpieczeństwo informacji, a nie zarządowi. UODO uznał więc, że z uwagi na pełną podległość służbową inspektora ochrony danych wobec dyrektora departamentu nie było możliwości zapewnienia, aby inspektor nie otrzymywał instrukcji dotyczących wykonywania przez niego zadań. Zwłaszcza że departament, w którym był zatrudniony IOD odpowiadał również za zadania, które wchodziły w zakres obowiązków IOD. Oceny tej sytuacji przez UODO nie zmieniło ani przyjęcie odpowiednich zapisów dotyczących niezależności IOD w wewnętrznej polityce spółki (przyjęto w niej, że IOD jest podległy bezpośrednio członkowi zarządu odpowiedzialnemu za sferę ochrony danych), ani przedstawiony przez spółkę wydruk z poczty elektronicznej wiadomości przesłanej pomiędzy IOD a członkiem zarządu, dotyczącej akceptacji planu kontroli oraz sprawozdania za poprzedni rok z jego wykonania. UODO uznał to za niewystarczające do wykazania niezależności IOD. W ocenie UODO w ślad za deklaracją określoną w polityce powinny zostać wdrożone działania, które to potwierdzają, a pojedyncze wiadomości wymieniane między inspektorem ochrony danych a zarządem nie stanowią dostatecznego potwierdzenia.

Funkcji IOD nie powinna pełnić osoba, która zajmuje stanowisko, na którym określa się sposoby i cele przetwarzania danych, z uwagi na możliwość wystąpienia konfliktu interesów. Jako przykład stanowisk, których nie powinno się łączyć ze stanowiskiem inspektora, można wymienić: stanowisko członka zarządu spółki, osób zajmujących stanowiska kierownicze, takie jak np. dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT. Jednak również zatrudnienie na stanowisku inspektora ochrony danych osoby na niższym stanowisku może spowodować konflikt interesów, jeśli osoba zajmująca to stanowisko bierze udział w określaniu celów i sposobów przetwarzania danych[11].

***

W świetle powyższych stanowisk UODO warto, aby w organizacji oprócz inspektora ochrony była zatrudniona również inna osoba, obeznana w sprawach z zakresu ochrony danych. W takim przypadku łatwiej jest zapewnić podział obowiązków i wykazać niezależność i brak konfliktu interesów w realizacji zadań przez inspektora ochrony danych osobowych. W praktyce, zwłaszcza w mniejszych organizacjach, często bywa to jednak trudne do realizacji, z uwagi na ograniczony budżet przeznaczony na kwestie związane z ochroną danych osobowych. Bardzo często zdarza się, że inspektor jest jedyną osobą wyspecjalizowaną w tematyce ochrony danych osobowych, przez co przekazywane mu są do realizacji zadania wykraczające poza kwestie określone w RODO. Dodatkowo rzadko zdarza się, aby osoby zarządzające widziały korzyści w zatrudnieniu dwóch specjalistów do spraw ochrony danych osobowych – inspektora i dodatkowej osoby, która wykonywałaby obowiązki nałożone w RODO na administratora (np. prowadzenie rejestru czynności przetwarzania).

W przypadku organizacji, które nie są zobowiązane do wyznaczenia inspektora ochrony danych, rozwiązaniem tego problemu może być rezygnacja z powoływania inspektora ochrony danych na rzecz powołania wewnętrznego specjalisty ds. ochrony danych (np. koordynatora do spraw ochrony danych), który nie pełniąc roli IOD, nie byłby ograniczony w zakresie zadań, które mógłby realizować.

Jeśli potrzebują Państwo profesjonalnego wsparcia w audycie procesów lub chcą mieć pewność, że struktura ochrony danych w firmie jest zgodna z najnowszymi wytycznymi UODO, nasz zespół służy pomocą. Doświadczony prawnik od ochrony danych osobowych we Wrocławiu z kancelarii GFP Legal pomoże Państwu uniknąć konfliktów interesów i właściwie ułożyć współpracę z inspektorem ochrony danych.

[1] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 21 sierpnia 2020 r., ZSOŚS.421.25.2019, https://uodo.gov.pl/decyzje/ZSO%C5%9AS.421.25.2019

[2] Biuletyn UODO, numer specjalny – materiały z archiwalnej strony UODO z okresu 31.08.2018 – 12.05.2022 r. str. 82: „Na czym polega wykonywanie zadań przez IOD z należytym uwzględnieniem ryzyka”? https://uodo.gov.pl/pl/p/archiwum-biuletynu-dla-iod

[3] Biuletyn UODO, numer specjalny – materiały z archiwalnej strony UODO z okresu 31.08.2018 – 12.05.2022 r. str.196, Czy IOD powinien sporządzić plan audytów?

[4] Biuletyn UODO, numer specjalny – materiały z archiwalnej strony UODO z okresu 31.08.2018 – 12.05.2022 r. str.80: Czy prowadzenie rejestru czynności przetwarzania powinno być zaliczane do zadań IOD?

[5] Biuletyn UODO, numer specjalny – materiały z archiwalnej strony UODO z okresu 31.08.2018 – 12.05.2022 r. str. 83: Kto powinien opracować wewnętrzną politykę ochrony danych osobowych? Administrator czy IOD?

[6] Biuletyn UODO, numer specjalny – materiały z archiwalnej strony UODO z okresu 31.08.2018 – 12.05.2022 r. str. 102: Czy administrator danych osobowych może udzielić IOD upoważnienia do nadawania upoważnień do przetwarzania danych osobowych?

[7] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 22 września 2020 r., ZWAD.405.31.331.2019, https://uodo.gov.pl/decyzje/ZWAD.405.31.331.2019

[8] Biuletyn UODO, numer specjalny – materiały z archiwalnej strony UODO z okresu 31.08.2018 – 12.05.2022 r. str. 193: Czy IOD może w imieniu administratora zawierać umowy powierzenia?

[9] Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych. Luty 2025, str. 40-42. https://uodo.gov.pl/pl/138/3561

[10] Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 18 grudnia 2024 r., DKN.5112.14.2022, https://uodo.gov.pl/decyzje/DKN.5112.14.2022

[11] Biuletyn UODO, numer specjalny – materiały z archiwalnej strony UODO z okresu 31.08.2018 – 12.05.2022 r. str. 28-29.

Materiał prasowy: radca prawny Ewa Kuczyńska.

Zapisz się do newslettera
Ewa Kuczyńska

Radca prawny
Ewa Kuczyńska

+48 665 932 589 ewa.kuczynska@gfplegal.pl

Zapisz się do newslettera

Chcę zapisać się do newslettera
Zobacz również
Na skróty