IOD jest wsparciem zarówno dla administratora, jak i dla osób, których dane dotyczą
Ze względu na szczególną rolę, jaką inspektor ochrony danych (IOD) pełni w systemie ochrony danych osobowych, obowiązkiem administratora jest zapewnienie mu niezależności i warunków do właściwego wykonywania zadań. Kwestie te – podczas spotkania Prezesa UODO z inspektorami ochrony danych w Toruniu (w ramach akcji „UODO rusza w kraj”) – szczegółowo omówiła Agata Miłocha z Wydziału Współpracy z Inspektorami Ochrony Danych w Departamencie Prawa i Nowych Technologii.
Mimo iż Urząd Ochrony Danych Osobowych od lat wyjaśnia, w jaki sposób w RODO zostały uregulowane status i zadania inspektora ochrony danych (IOD), kolejne decyzje Prezesa Urzędu Ochrony Danych Osobowych (np. ta z 2 stycznia 2026 r. sygn. akt DKN.5131.4.2025) dowodzą, że administratorzy nie mają wystarczającej świadomości, na czym polega właściwe sprawowanie funkcji IOD i wciąż nie zapewniają inspektorom ochrony danych możliwości niezależnego wykonywania zadań.
Tymczasem funkcję IOD powinna pełnić osoba, która zapewnieni wysoki poziom ochrony osób fizycznych. Administrator powinien zaś wprowadzić rozwiązania, które umożliwią IOD właściwe wykonywanie zadań, i zagwarantować ich skuteczne stosowanie.
Gwarancje niezależności IOD wynikają z RODO
Przepisy RODO nakładają na administratorów określone obowiązki, które są niezbędne do skutecznego i prawidłowego wykonywania zadań IOD. Jednym z nich jest obowiązek zapewnienia inspektorowi możliwości niezależnego i skutecznego wykonywania zadań. RODO kładzie duży nacisk na gwarancje niezależności IOD. Ma to zapewnić obiektywizm jego działania i możliwość dbania o prawa osób, których dane dotyczą.
Inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora, czy też nie – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny (motyw 97 RODO).
W celu zapewnienia niezależności IOD ogólne rozporządzenie o ochronie danych, wprowadza szczegółowe rozwiązania, które pozwalają na osiągnięcie tego celu, a mianowicie:
- a) bezpośrednią podległość IOD najwyższemu kierownictwu (art. 38 ust. 3),
- b) wspieranie IOD w wypełnianiu jego zadań (art. 38 ust. 2),
- c) zapewnienie udziału IOD we wszystkich zagadnieniach związanych z ochroną danych osobowych od jak najwcześniejszego etapu (art. 38 ust. 1),
- d) zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań (art. 38 ust. 3),
- e) unikanie konfliktu interesów IOD (art. 38 ust. 6),
- f) zakaz odwoływania i karania IOD za wykonywanie należących do niego zadań (art. 38 ust. 3),
- g) obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez IOD (art. 38 ust. 5).
Obowiązki, jakie ciążą na administratorach w związku zapewnieniem IOD gwarancji niezależności zostały wyjaśnione między innymi na stronie internetowej UODO w odpowiedzi na pytanie „Jakie gwarancje niezależności zostały przyznane IOD w przepisach RODO?”.
Więcej informacji dotyczących gwarancji niezależności IOD znaleźć można w szczególności w:
–materiale pt. „Za realizację praw osób w zakresie dostępu do dotyczących ich danych odpowiada administrator” zamieszczonym w Biuletynie UODO Wydanie 1 ze stycznia 2024 r. ,
–sprawozdaniu krajowym polskiego organu nadzorczego opracowanego w ramach CEF DPO (str. 9 i 10) ,
–w prezentacji załączonej do materiału „Niezależność IOD musi być standardem – podsumowanie efektów spotkania w UODO”, w szczególności w panelach nr 1, 3 i 4,
Podwójna rola IOD
Rolą IOD jest zapewnienie nie tylko wsparcia administratorowi w zakresie właściwego przetwarzania danych osobowych, ale również udzielenie pomocy osobom, których dane dotyczą w zrozumieniu, jakie mają prawa w związku przetwarzaniem ich danych osobowych.
Innymi słowy, rola IOD polega nie tylko na wspieraniu administratora we właściwym przetwarzaniu danych, ale też na byciu punktem kontaktowym dla osób, których dane dotyczą (art. 38 ust. 4 RODO). W myśl tego przepisu osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.
Żeby właściwie, niezależnie i bezstronnie dbać o interesy osoby, której dane są przetwarzane, IOD nie może wykonywać zadań administratora. Mogłoby to bowiem powodować konflikt interesów, o którym mowa w art. 38 ust. 6 RODO.
Tytułem przykładu IOD nie może być pełnomocnikiem administratora w przypadku zgłaszania naruszenia ochrony danych osobowych, ponieważ z przepisów wynika, iż jest to zadanie administratora (art. 33 RODO).
Udzielenie inspektorowi ochrony danych pełnomocnictwa do występowania w imieniu administratora (reprezentowania administratora) przed organem nadzorczym w sprawach z zakresu ochrony danych osobowych stoi w kolizji z nakazem nienakładania na IOD zadań powodujących konflikt interesów. Zadaniem IOD jest informowanie administratora o obowiązkach spoczywających na nim na mocy RODO oraz monitorowanie wykonania tych obowiązków (art. 39 ust. 1 lit. a i b RODO). Występowanie w roli pełnomocnika administratora w zakresie obowiązków nałożonych na administratora może istotnie utrudniać lub uniemożliwiać inspektorowi niezależną ocenę, czy obowiązki administratora są wykonywane i czy są wykonywane prawidłowo.
Zadaniem pełnomocnika jest działanie według instrukcji i sugestii mocodawcy, co stoi w sprzeczności z niezależnością inspektora ochrony danych, zagwarantowaną w art. 38 ust. 3 RODO (zakaz otrzymywania instrukcji).

Rola IOD w systemie ochrony danych osobowych
IOD nie jest jednym elementem systemu ochrony danych osobowych. Osamotniony IOD w budowaniu kultury ochrony danych osobowych, to niewydolny system ochrony danych osobowych oraz „gotowa recepta” na m.in. powtarzające się naruszenia ochrony danych osobowych, skargi osób, których dane dotyczą do Prezesa UODO, utrata zaufania do instytucji, firmy.
Należy podkreślić, iż kluczowa rola IOD w systemie ochrony danych osobowych jest określona w przepisach RODO. Określono w nim sytuacje, kiedy wyznaczenie IOD jest obligatoryjne, status IOD, zakres jego zadań.
Dlatego tak ważne jest podejmowanie efektywnych działań przez administratora w zakresie wspierania IOD w wypełnianiu przez niego jego zadań oraz zapewnienia mu odpowiedniego statusu. W tym wyraźne rozdzielnie roli IOD i administratora.
Rola IOD w związku z rozwojem nowych technologii
Rozwój technologii, wiąże się z możliwością przetwarzania danych, w tym danych osobowych, na niespotykaną dotąd skalę. Jednocześnie ilość gromadzonych danych rośnie w tempie wykładniczym.
Organizacje muszą być gotowe nie tylko właściwe zarządzać tak dużą ilością danych, ale również przetwarzać je zgodnie z przepisami prawa.
Przede wszystkim rola IOD w systemie ochrony danych osobowych będzie coraz bardziej doceniana w zakresie budowania kultury ochrony danych osobowych w organizacji, w tym podnoszenia świadomości w zakresie właściwego stosowania przepisów ochrony danych osobowych oraz zabezpieczenia praw osób, których dane dotyczą w związku z rozwojem nowych technologii. – mówiła Agata Miłocha.
Kwestie wyznaczania IOD, zapewnienia właściwego statusu oraz zakresu jego zadań zostały również omówione na stronie internetowej UODO w zakładce: „DLA ADMINISTRATORA” w sekcji „Wyznaczanie IOD”, oraz „Dla IOD” dotyczącej m.in. Zadań IOD.
Shadow IA nowym wyzwaniem w zapewnieniu bezpieczeństwa ochrony danych osobowych
Rozwój nowych technologii powoduje, że IOD musi pogłębiać swoją wiedzę w tej dziedzinie, tak by móc właściwie oceniać ryzyka dla ochrony danych osobowych generowanych przez nowe technologie. Bowiem należy spodziewać się, wzrostu liczby zagrożeń dla bezpieczeństwa danych osobowych, w związku z rozwojem AI.
Administrator musi dokonywać oceny, czy kompetencje osoby, która ma pełnić funkcję IOD, są odpowiednie do wykonywania zadań IOD w jego organizacji.
Z art. 37 ust. 5 RODO wynika, że IOD powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Wymagany od inspektora poziom wiedzy fachowej – zgodnie z Wytycznymi dotyczącymi IOD – musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych u danego administratora.
Szczególnym wyzwaniem jest obecnie tzw. shadow AI, czyli korzystanie z narzędzi sztucznej inteligencji bez informowania o tym pracodawcy. Rodzi to poważne zagrożenia dla ochrony danych osobowych. Nawet bowiem przy najlepszych zabezpieczeniach technicznych, pozostaje obawa, że pracownik zrobi zdjęcie ekranu z danymi osobowymi, a następnie wprowadzi je do narzędzia AI na telefonie.
Pracownik może doprowadzić naruszenia ochrony danych osobowych, jeśli nie jest świadomy, jak jego działania mogą wpłynąć na bezpieczeństwo danych osobowych. Dlatego tak ważne jest budowanie przez administratorów – przy wsparciu IOD – kultury ochrony danych osobowych.
Kwestie kompetencji IOD oraz zdań IOD zostały również omówione na stronie internetowej UODO w zakładce: „DLA ADMINISTRATORA” w sekcji „Wyznaczanie IOD”, oraz „Dla IOD” dotyczącej m.in. zadań IOD.

IOD musi mieć realną możliwość wykonywania swoich zadań
Jednym z wyzwań omówionych podczas spotkania jest pełnienie przez jedną osobę funkcji inspektora ochrony danych w kilku podmiotach (a niekiedy nawet w większej liczbie) jednocześnie.
RODO dopuszcza możliwość pełnienia funkcji IOD dla więcej niż jednego administratora. Przy czym nie może dochodzić do sytuacji, w której IOD nie jest w stanie właściwie wykonywać swojej funkcji ze względu na jej pełnienie w zbyt dużej liczbie podmiotów. Każdy administrator musi zapewnić, aby IOD mógł efektywnie wykonywać swoją funkcję oraz odpowiednio realizować swoje zadania – tłumaczyła Agata Miłocha.
Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski wskazał, że IOD musi mieć realną możliwość wykonywania swoich zadań. A nie jest to realnie możliwe, gdy obsługuje kilkadziesiąt podmiotów. Jednak ani w RODO, ani w ustawie o ochronie danych osobowych nie ma podstaw, by wyznaczyć ścisły limit ilościowy, którego przekroczenie oznaczałoby naruszenie przepisów. Jest to jednak problem ogólnoeuropejski. A wprowadzenie takich ograniczeń tylko w prawie polskim mogłoby zostać uznane za ingerujące w treść RODO, a nawet naruszające wolność działalności gospodarczej. Jeśli taki krytyczny przypadek do nas trafi, to wydamy decyzje, która może zakończyć się nałożeniem kary. To wpłynie na rynek mocniej, niż ustawowe limity – podsumował.
Więcej informacji w tym zakresie znajduje się w zakładce: „DLA ADMINISTRATORA” w sekcji „Wyznaczanie IOD” w temacie „Jeden IOD dla kilku podmiotów”. Omówione zostały w niej następujące zagadnienia:
- Ile maksymalnie podmiotów może obsługiwać jeden IOD?
- Czy podmioty publiczne mogą powołać jednego IOD poza sytuacją uregulowaną w art. 37 ust. 3 RODO?
- Czy różni przedsiębiorcy niewchodzący w skład tej samej grupy mogą powołać jednego IOD?
- Czy po wejściu stosowania RODO CUW może powołać jednego IOD dla wszystkich obsługiwanych jednostek?
27 pytań, które warto wykorzystać do autokontroli zapewnienia właściwych warunków do prawidłowego wykonywania zadań IOD
Kwestie dot. prawidłowego wykonywania zadań przez administratorów były przedmiotem weryfikacji przez Prezesa UODO w ramach tzw. akcji 27 pytań.
Pytania odnoszą się do wykonywania przez administratorów obowiązków określonych w art. 37-39 RODO, a także do kwestii, jakie działania powinni oni podjąć, aby zapewnić w swoich jednostkach zgodność z tymi przepisami i potrafić to wykazać.
Wspomniane 27 pytań administrator może wykorzystać do autokontroli w celu weryfikacji spełnienia warunków związanych z zapewnieniem przez niego pełnienia funkcji IOD.
Taką listę może wykorzystać również IOD w celu wskazania administratorowi, jakie kwestie dotyczące pełnienia przez niego tej funkcji nie zostały wdrożone przez administratora (np. brak odpowiednich zasobów).
27 pytań zostało opublikowanych na stronie internetowej UODO w marcu 2022 r.

