IOD nie może być jednocześnie członkiem zarządu. A jednak.
Share
To jeden z częstszych i dziwniejszych konfliktów interesów w polskich i zagraniczych firmach. Wszyscy o nim wiedzą. Nikt o nim nie mówi. UODO zaczął karać.
Jest taki moment w każdej firmie który znam na pamięć.
Zarząd decyduje że "trzeba mieć tego IOD". Pada pytanie kto to będzie. Zapada cisza. Ktoś proponuje że Prezes albo któryś dyrektor "to ogarnie przy okazji". Wszyscy kiwają głowami. Decyzja podjęta. Problem z głowy.
Problem właśnie się zaczął.
Czym jest IOD i dlaczego niezależność to nie jest opcja
Inspektor Ochrony Danych to nie jest stanowisko na papierze. To nie jest tytuł który dokłada się do wizytówki między "Dyrektor Finansowy" a "Partner Zarządzający".
RODO w art. 38 jest w tej kwestii precyzyjne do bólu: IOD wykonuje swoje zadania w sposób niezależny. Nie otrzymuje instrukcji dotyczących wykonywania tych zadań. Nie może być odwołany ani karany za wykonywanie swoich funkcji.
Przetłumaczmy to na język biznesu.
IOD ma prawo powiedzieć zarządowi "nie". Ma prawo wyrazić sprzeczną opinię nawet jeśli zarząd woli żeby tego nie robił. Ma prawo punktować słabości w firmie jeśli wymaga tego ochrona danych.
Teraz zadaj sobie jedno pytanie: czy Prezes może powiedzieć "nie" samemu sobie?
Anatomia konfliktu interesów
Wyobraź sobie następującą sytuację. Firma rozważa wdrożenie nowego systemu CRM który będzie zbierał dane klientów w zakresie znacznie szerszym niż dotychczas. Decyzja biznesowa leży po stronie zarządu. Ocena zgodności z RODO – po stronie IOD.
Jeśli to ta sama osoba – mamy klasyczny konflikt interesów wbudowany w strukturę organizacyjną.
IOD który jest jednocześnie członkiem zarządu nie może obiektywnie ocenić decyzji które sam podejmuje. Nie może niezależnie nadzorować procesów w których sam uczestniczy. Nie może zgłosić naruszenia które sam dopuścił do wdrożenia.
To nie jest kwestia złej woli konkretnej osoby. To jest kwestia strukturalnej niemożności. Nie da się być jednocześnie sędzią i stroną. Nawet przy najlepszych intencjach.
RODO to rozumie. Dlatego wprost zakazuje łączenia funkcji IOD z rolami które generują ten konflikt.
Co mówi RODO – i co mówią wytyczne EROD
Art. 38 ust. 6 RODO pozwala IOD wykonywać inne zadania i obowiązki pod warunkiem że nie powoduje to konfliktu interesów.
Brzmi jak furtka. Nią nie jest.
Europejska Rada Ochrony Danych w swoich wytycznych dotyczących IOD jest jednoznaczna: konflikt interesów powstaje gdy IOD miałby nadzorować przetwarzanie danych w ramach zadań które sam określa jako administrator. Do ról generujących konflikt zalicza się wprost: CEO, COO, CFO, dyrektor ds. marketingu, dyrektor HR, dyrektor IT.
Czyli praktycznie każdą rolę zarządczą i dyrektorską w typowej firmie.
Furtka z art. 38 ust. 6 dotyczy drobnych zadań administracyjnych. Nie dotyczy zasiadania w zarządzie.
Jak to wygląda w praktyce polskich firm
Mógłbym cytować anonimowe przypadki. Ale wystarczy spojrzeć na to co publicznie ukarał UODO.
Urząd coraz częściej przy okazji postępowań sprawdza nie tylko sam incydent który był bezpośrednią przyczyną skargi – ale całą strukturę compliance w organizacji. I gdy przy okazji wycieku danych okazuje się że IOD jest jednocześnie dyrektorem IT który odpowiadał za zabezpieczenia – to jest gotowy przepis na podwyższoną karę.
Bo naruszenie się nałożyło na strukturalny problem organizacyjny.
W 2025 roku UODO wprost wskazał w uzasadnieniach decyzji że niezależność IOD nie może mieć charakteru wyłącznie formalnego. Papier z powołaniem nie wystarczy. Liczy się realna możliwość działania bez instrukcji i bez strachu przed konsekwencjami.
Dyrektor IT który jest jednocześnie IOD i który odkrywa że jego własny dział miesiąc temu wdrożył system bez oceny ryzyka – co zrobi? Zgłosi sam siebie? Napisze raport krytykujący własną decyzję? Zaalarmuje zarząd w którym siedzi?
Odpowiedź zna każdy kto kiedykolwiek pracował w organizacji.
Najczęstsze warianty tego błędu w polskich firmach
Konflikt interesów w roli IOD nie dotyczy wyłącznie połączenia z zarządem. Oto najczęstsze warianty które widzę w praktyce:
IOD = Dyrektor IT. Klasyk. Dział IT jest jednocześnie największym administratorem danych w organizacji i największym ryzykiem dla ich bezpieczeństwa. IOD który zarządza tym działem nie może obiektywnie oceniać ryzyk które sam generuje.
IOD = Dyrektor HR. HR przetwarza najbardziej wrażliwe dane w całej organizacji – dane pracowników, kandydatów, wyniki ocen, historię zatrudnienia. IOD który jest szefem HR nadzoruje samego siebie.
IOD = Radca prawny będący jednocześnie pełnomocnikiem zarządu. Tu konflikt jest subtelniejszy ale równie realny. Radca prawny którego obowiązkiem jest obrona interesów organizacji nie może jednocześnie niezależnie oceniać czy organizacja narusza RODO.
IOD = właściciel w jednoosobowej spółce. Najbardziej rozpowszechniony wariant w sektorze MŚP. Właściciel jest administratorem, jest IOD, jest jedynym pracownikiem. RODO formalnie nie wymaga IOD od większości małych firm – więc po co go powoływać żeby potem strukturalnie blokować jego niezależność?
Co zrobić żeby to naprawić
Dobra wiadomość jest taka że to jest problem który ma rozwiązanie. I nie jest ono szczególnie skomplikowane.
Opcja pierwsza: zewnętrzny IOD. Dla większości firm – szczególnie tych które nie mają obowiązku posiadania IOD ale zdecydowały się go powołać – zewnętrzny inspektor to najczyściejsze rozwiązanie. Brak konfliktu interesów wynikający ze struktury zatrudnienia. Niezależność wynikająca z umowy a nie z dobrej woli zarządu.
Opcja druga: wewnętrzny IOD z realną niezależnością. Jeśli firma chce mieć IOD wewnątrz – musi to być osoba która nie zarządza żadnym procesem przetwarzania danych. Nie ma uprawnień decyzyjnych w obszarach które nadzoruje. Ma bezpośredni dostęp do zarządu – ale nie jest jego częścią. I ma zagwarantowaną ochronę przed zwolnieniem za wykonywanie funkcji IOD.
Opcja trzecia: rewizja istniejącego powołania. Jeśli w Twojej organizacji IOD łączy funkcję z rolą zarządczą – najlepszą decyzją jest jak najszybsza rewizja tej struktury zanim zrobi to za Ciebie UODO przy okazji postępowania z zupełnie innego powodu.
Dlaczego firmy wciąż to robią
Pytanie które zawsze się pojawia: skoro to takie oczywiste – dlaczego połowa firm wciąż popełnia ten błąd?
Trzy powody.
Oszczędność. Zewnętrzny IOD kosztuje. Dedykowany wewnętrzny IOD kosztuje. Dołożenie funkcji do kogoś kto już jest na etacie – nie kosztuje nic. Pozornie.
Nieświadomość. Wiele firm powołuje IOD bo "tak trzeba" nie rozumiejąc co ta rola faktycznie oznacza. Powołanie jest. Wymaganie z checklisty odhaczone. Temat zamknięty.
Brak egzekucji – do niedawna. Przez pierwsze lata obowiązywania RODO UODO koncentrował się na innych naruszeniach. Firmy które łączyły funkcje nie dostawały kar bezpośrednio za ten błąd. Budowało to fałszywe poczucie bezpieczeństwa.
2025 rok pokazał że to się zmieniło.
Podsumowanie które warto wydrukować i powiesić w sali zarządu
IOD to nie tytuł. To funkcja z prawnie zagwarantowaną niezależnością.
Niezależność nie istnieje gdy IOD siedzi w zarządzie który nadzoruje.
Papier z powołaniem nie zastąpi struktury która tę niezależność umożliwia.
UODO nie pyta już czy IOD jest powołany. Pyta czy może realnie działać.
Jeśli odpowiedź na to ostatnie pytanie brzmi "nie bardzo" – to jest dobry moment żeby to zmienić. Zanim ktoś inny zada to pytanie oficjalnie.
Artykuły stanowią "wydłużoną wersję" najpopularniejszych treści tworzonych przeze mnie w innych serwisach social media. Artykuł oraz grafika główna powstały przy wsparciu AI.