Przez prawie sześć lat prezes zarządu spółki medycznej pełnił jednocześnie funkcję Inspektora Ochrony Danych (IOD). Jest to rozwiązanie sprzeczne z RODO, bo nie daje gwarancji, że obowiązki związane z ochroną danych osobowych w organizacji będą wykonywane w sposób niezależny i obiektywny.
Stwierdziwszy to naruszenie prezes UODO Mirosław Wróblewski nałożył na spółkę karę w wysokości 11 tys. 365zł.
Spółka, której działalność skoncentrowana jest na udzielaniu świadczeń i usług medycznych, zgłosiła w 2023 r. do PUODO incydent z danymi: pacjentowi wydano dokumenty innej osoby. Ze zgłoszenia wynikało, że w spółce funkcję IOD pełni prezes zarządu.
PUODO wszczął więc postępowanie administracyjne, aby wyjaśnić, jak do tego doszło.
Okazało się że spółka – administrator danych – miała świadomość, że IOD musi być niezależny od władz spółki, by móc jej raportować o zagrożeniach. Spółka uznała jednak, że pełnienie tej funkcji przez samego prezesa zarządu tej niezależności nie zagraża cyt. „obecne rozwiązanie uważamy za optymalne, gwarantujące najlepszą opiekę merytoryczną osób, których dane dotyczą, spółki jako administratora oraz IOD-a”.
źródło: https://uodo.gov.pl/pl/138/3897