Artykuły eksperckie

Czy prezes firmy może być jednocześnie Inspektorem Ochrony Danych (IOD)?

⟨⟨ Powrót
Łukasz Kulicki

Łukasz Kulicki

Radca prawny

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?

e-mail: kancelaria@afterlegal.pl

tel. +48 500 436 703

Opublikowano: 13 października 2025

TL;DR: Powierzenie funkcji Inspektora Ochrony Danych (IOD) prezesowi zarządu lub innemu menedżerowi na stanowisku kierowniczym jest jednoznacznym naruszeniem RODO, prowadzącym do nieuniknionego konfliktu interesów. Zostało to ostatecznie potwierdzone przez Prezesa Urzędu Ochrony Danych Osobowych, który w swojej decyzji z 2025 roku (sygn. DKN.5131.7.2025) nałożył za to przewinienie na firmę z branży medycznej dotkliwą karę finansową. Dla każdej organizacji w Polsce oznacza to konieczność natychmiastowej weryfikacji swojej struktury i, w razie potrzeby, bezzwłocznego odwołania osoby na stanowisku decyzyjnym z funkcji IOD. Ignorowanie tego obowiązku to świadome narażanie firmy na sankcje sięgające nawet 10 milionów euro.

Najważniejsze informacje w pigułce

  • Czy Prezes może być IOD? Zasadniczo nie. Art. 38 ust. 6 RODO zabrania łączenia funkcji Inspektora Ochrony Danych (IOD) z zadaniami, które prowadzą do konfliktu interesów. Ponieważ prezes zarządu ustala cele i sposoby przetwarzania danych, jego niezależne monitorowanie przez samego siebie jest niemożliwe. Potwierdza to orzecznictwo (TSUE C-453/21) i decyzja Prezesa UODO (DKN.5131.7.2025).
  • Jaka jest kara? Naruszenie to grozi administracyjną karą pieniężną do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu firmy. Wysokość sankcji zależy od wielu czynników (m.in. umyślności, czasu trwania). W sprawie DKN.5131.7.2025 nałożono karę 11 365 zł, jednak należy traktować tę kwotę jako przykład, a nie regułę – ryzyko finansowe może być znacznie wyższe.
  • Główny problem? Prezes ustala cele i sposoby przetwarzania danych. Zadaniem IOD jest niezależne monitorowanie zgodności tych działań z RODO. Nie można skutecznie i obiektywnie monitorować samego siebie.
  • Co robić? Należy niezwłocznie odwołać prezesa z funkcji IOD i powołać nową, bezstronną osobę (wewnętrzną lub zewnętrzną), która nie zajmuje w organizacji stanowiska kierowniczego określającego cele i sposoby przetwarzania danych.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych (IOD) do naszej kancelarii. Sprawdź, jak możemy Ci pomóc!

Dlaczego prezes firmy nie może być jednocześnie Inspektorem Ochrony Danych? Kwestia konfliktu interesów

Ogólne Rozporządzenie o Ochronie Danych (RODO) wprowadziło funkcję Inspektora Ochrony Danych jako kluczowy element systemu zabezpieczeń praw osób fizycznych. Aby IOD mógł skutecznie pełnić swoją rolę strażnika, musi być niezależny. Tę fundamentalną zasadę kodyfikuje art. 38 ust. 6 RODO, który stanowi, że administrator danych osobowych musi zapewnić, aby inne zadania i obowiązki inspektora „nie powodowały konfliktu interesów”.

Co to dokładnie oznacza? Konflikt interesów to sytuacja, w której bezstronność i obiektywizm IOD są zagrożone przez pełnienie przez niego innych, sprzecznych ról w organizacji. Najpoważniejszy konflikt powstaje, gdy ta sama osoba, która decyduje o celach i sposobach przetwarzania danych (czyli o tym, dlaczego i jak firma przetwarza dane), ma jednocześnie monitorować legalność tych decyzji.

To tak, jakby dyrektor finansowy miał samodzielnie przeprowadzać audyt sprawozdań finansowych, które sam przygotował.

Ukryty konflikt interesów: kiedy IOD jest tylko z pozoru niezależny?

Problem nie dotyczy wyłącznie formalnego łączenia stanowisk. Równie niebezpieczny jest ukryty, faktyczny konflikt interesów. Wyobraźmy sobie sytuację, w której IOD jest formalnie samodzielnym specjalistą, ale w strukturze organizacyjnej raportuje bezpośrednio do Prezesa Zarządu i w praktyce wykonuje jego polecenia dotyczące ochrony danych. Jeżeli jego oceny i rekomendacje są podporządkowane woli zarządu, a nie obiektywnej analizie przepisów, jego niezależność staje się fikcją. Taka struktura również stanowi naruszenie zasad RODO.

Sprawdź również: Brak odpowiedzi na pismo z UODO. Co za to grozi i jakie są konsekwencje?

Co mówi nam o tym decyzja UODO o sygnaturze DKN.5131.7.2025?

Teoria znalazła swoje brutalne potwierdzenie w praktyce. 12 września 2025 roku Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną (11 tysięcy złotych) na spółkę z branży medycznej właśnie za powierzenie funkcji IOD prezesowi zarządu. Ta decyzja to drogowskaz dla wszystkich organizacji w Polsce.

  • Jak doszło do wykrycia naruszenia? Spółka sama zgłosiła do UODO incydent naruszenia ochrony danych. W dokumentacji jako IOD wskazano osobę, która jednocześnie pełniła funkcję prezesa zarządu. To zapaliło czerwoną lampkę w urzędzie i stało się podstawą do wszczęcia odrębnego postępowania.
  • Błędna argumentacja spółki: Ukarany podmiot próbował bronić swojej decyzji, podnosząc argumenty, które organ nadzorczy bezwzględnie odrzucił:
    • Argument finansowy: Spółka twierdziła, że nie stać jej na zatrudnienie zewnętrznego eksperta. UODO uznał ten argument za całkowicie bezzasadny, wskazując, że obowiązki prawne nie są uzależnione od sytuacji finansowej administratora.
    • Argument merytoryczny: Zarząd przekonywał, że prezes, posiadając szeroką wiedzę o firmie, jest najlepszym kandydatem. Organ stwierdził, że wiedza o organizacji nie eliminuje konfliktu, a wręcz go potęguje.
    • Wewnętrzna analiza: Firma przedstawiła własną analizę, z której wynikało, że konflikt nie występuje. UODO wytknął, że dokument ten zatwierdzała ta sama osoba (prezes-IOD), której dotyczył, co samo w sobie jest jaskrawym przykładem braku niezależności.
  • Uzasadnienie kary: Prezes UODO uznał naruszenie za umyślne i długotrwałe (trwało blisko 6 lat). Spółka miała świadomość zaleceń i wytycznych, a mimo to świadomie utrzymywała wadliwą strukturę, co stanowiło okoliczność obciążającą.

Dlaczego Prezes Zarządu nie może być jednocześnie IOD?

Problem sprowadza się do fundamentalnej sprzeczności ról. Prezes Zarządu z definicji jest osobą, która uosabia administratora danych. To on – samodzielnie lub z całym zarządem – ustala strategię biznesową, a co za tym idzie, określa cele (np. pozyskiwanie nowych klientów) i sposoby (np. przez kampanie marketingowe oparte na analizie danych) przetwarzania danych osobowych.

Z kolei zadaniem IOD, zdefiniowanym w art. 39 RODO, jest m.in. monitorowanie przestrzegania przepisów. Inspektor ma patrzeć zarządowi na ręce, doradzać, a czasem nawet kwestionować planowane działania, jeśli niosą one zbyt duże ryzyko dla praw i wolności osób.

Gdy te dwie role pełni jedna osoba, dochodzi do absurdu – nie można przecież monitorować samego siebie. Każda decyzja biznesowa prezesa musiałaby być przez niego samego oceniona pod kątem zgodności z RODO, co całkowicie niweczy ideę niezależnego nadzoru. Co więcej, art. 38 ust. 3 RODO wymaga, by IOD podlegał bezpośrednio najwyższemu kierownictwu. Jeśli IOD jest jednocześnie prezesem, przepis ten staje się logicznie niemożliwy do zrealizowania – nie można podlegać samemu sobie.

Stanowiska w firmie, których nie można łączyć z funkcją IOD

Problem konfliktu interesów nie dotyczy wyłącznie prezesa zarządu. Europejska Rada Ochrony Danych (wcześniej Grupa Robocza Art. 29) w swoich wytycznych wskazała szereg innych stanowisk kierowniczych, które co do zasady są niekompatybilne z funkcją IOD.

Stanowisko Główne zadanie Dlaczego generuje konflikt z rolą IOD?
Dyrektor Generalny (CEO) Zarządzanie całością organizacji, wyznaczanie strategii. Definiuje cele i sposoby przetwarzania danych na najwyższym poziomie.
Dyrektor Operacyjny (COO) Zarządzanie codzienną działalnością operacyjną. Decyduje o procesach, w których dane są przetwarzane na masową skalę.
Dyrektor Finansowy (CFO) Zarządzanie finansami, w tym danymi pracowników i klientów do celów rozliczeniowych. Ustala sposoby przetwarzania danych w kluczowych obszarach finansowych i kadrowych.
Dyrektor Działu Marketingu (CMO) Pozyskiwanie klientów, profilowanie, analityka. Definiuje cele i sposoby przetwarzania danych w celach marketingowych.
Dyrektor Działu HR (CHRO) Zarządzanie danymi pracowników i kandydatów. Określa cele i procesy przetwarzania w niezwykle wrażliwym obszarze danych kadrowych.
Dyrektor Działu IT (CIO) Zarządzanie infrastrukturą, systemami i bezpieczeństwem. Decyduje o technicznych sposobach przetwarzania i zabezpieczania danych.

Złota zasada: Jeśli dane stanowisko wiąże się z podejmowaniem decyzji o celach i sposobach przetwarzania danych, łączenie go z funkcją IOD jest wysoce ryzykowne.

Problem z powołaniem IOD w mikroprzedsiębiorstwach i startupach – jakie są realne rozwiązania?

Często słyszymy pytanie: „Jestem właścicielem małej firmy, czy naprawdę muszę kogoś zatrudniać?”. Odpowiedź brzmi: tak, jeśli przepisy nakładają na Ciebie obowiązek wyznaczenia IOD (np. z uwagi na przetwarzanie danych wrażliwych na dużą skalę). Argument „nie stać mnie” został, jak wskazano w decyzji UODO, jednoznacznie odrzucony. Rozwiązaniem nie jest łamanie prawa, lecz skorzystanie z elastycznych modeli, takich jak outsourcing funkcji IOD. Usługa zewnętrznego IOD w modelu abonamentowym jest często bardziej opłacalna niż tworzenie etatu i zapewnia dostęp do eksperckiej, zawsze aktualnej wiedzy.

Konflikt interesów w strukturach grup kapitałowych

W holdingach sytuacja może być jeszcze bardziej złożona. Czy Prezes Zarządu spółki-córki może być IOD dla całej grupy? Zazwyczaj nie. Taka osoba, dbając o interesy swojej spółki, może nie być w stanie obiektywnie oceniać procesów w spółce-matce lub w innych podmiotach z grupy, zwłaszcza jeśli ich interesy biznesowe są sprzeczne. W grupach kapitałowych zaleca się powołanie centralnego IOD, który nie jest zaangażowany w zarządzanie operacyjne żadną ze spółek.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Nasz Prezes jest aktualnie IOD – jak to wyprostować krok po kroku?

Jeśli w Twojej organizacji prezes lub inny członek wyższej kadry kierowniczej pełni funkcję IOD, należy podjąć natychmiastowe działania naprawcze. Poniższy schemat ilustruje proces, który powinien być przeprowadzony we współpracy z kancelarią prawną.

  • Krok 1: Analiza ryzyka
    • Uznaj problem. Zrozum, że obecny stan jest naruszeniem RODO i generuje ryzyko kary finansowej.
    • Zleć nam audyt w celu oceny skali konfliktu interesów i zidentyfikowania kandydatów na nowego IOD.
  • Krok 2: Przygotowanie dokumentacji korporacyjnej
    • Przygotujemy projekt uchwały zarządu (lub odpowiedniego organu) o odwołaniu obecnego IOD. Dokument musi precyzyjnie wskazywać datę zmiany.
  • Krok 3: Wybór i powołanie nowego IOD
    • Wybierz nowego kandydata – może to być odpowiednio przeszkolony pracownik, który nie pełni funkcji kierowniczych, lub profesjonalny podmiot zewnętrzny, taki jak np. nasza kancelaria prawna.
    • Spisz i przyjmij uchwałę o powołaniu nowego IOD.
    • Zapewnij nowemu IOD odpowiednie umocowanie w strukturze firmy, zasoby i bezpośredni dostęp do najwyższego kierownictwa.
  • Krok 4: Zgłoszenie zmiany do Prezesa UODO
    • Poinformujemy organ nadzorczy o zmianie. Zawiadomienie o odwołaniu starego i powołaniu nowego IOD należy wysłać elektronicznie przez platformę biznes.gov.pl.
    • Masz na to 14 dni od dnia powołania nowego Inspektora, zgodnie z art. 10 ust. 1 Ustawy o ochronie danych osobowych z 10 maja 2018 r.

Podsumowanie: Niezależny IOD to strategiczna ochrona firmy

Sprawa jest jasna: powierzenie funkcji IOD prezesowi zarządu to nie jest błąd proceduralny. To tykająca bomba, której detonacja – w postaci kontroli i dotkliwej kary finansowej – jest tylko kwestią czasu. Pytanie nie brzmi czy należy to naprawić, ale jak zrobić to skutecznie, nie paraliżując bieżącej działalności firmy.

Można próbować delegować tę funkcję na kolejnego pracownika, ryzykując jego przeciążenie, brak specjalistycznej wiedzy i potencjalny, ukryty konflikt interesów. Istnieje jednak rozwiązanie, które wybierają świadomi liderzy biznesu: outsourcing funkcji Inspektora Ochrony Danych do wyspecjalizowanej kancelarii prawnej. Decydując się na współpracę z nami, zyskujesz znacznie więcej niż tylko zgodność z RODO. Zapewniasz swojej firmie:

  • Gwarancję niezależności i braku konfliktu interesów, co całkowicie eliminuje ryzyko zakwestionowania statusu IOD przez Urząd.
  • Dostęp do całego zespołu ekspertów, a nie tylko jednej osoby. Nasza wiedza jest zawsze aktualna i obejmuje najnowsze orzecznictwo oraz interpretacje.
  • Przewidywalne, stałe koszty, które są inwestycją w bezpieczeństwo, a nie niepewnym wydatkiem na etat i drogie szkolenia.
  • Pełne przejęcie odpowiedzialności za kontakt z UODO i wsparcie w razie incydentów – zdejmujemy ten ciężar z Twoich barków.

Nie czekaj, aż kontrola UODO zapuka do Twoich drzwi. Skontaktuj się z nami już dziś, aby omówić, jak usługa zewnętrznego IOD może stać się Twoją strategiczną przewagą i gwarancją spokoju na lata.