Poczta Polska zapłaci prawie milion złotych kary. PIT-11 uruchomił machinę kontroli

Agata Siwek

Agata Siwek

Prezes UODO nałożył na Pocztę Polską karę w wysokości 978 tys. zł za brak niezależności inspektora ochrony danych (IOD). Chodzi o sytuację, w której jedna osoba jednocześnie pełniła funkcję IOD i kierowniczą w obszarze przetwarzania danych, w tym informacji z PIT-11. Organ stwierdził konflikt interesów i brak procedur gwarantujących obiektywność nadzoru nad danymi osobowymi. Poczta Polska przekazała Interii Biznes, że zaskarży decyzję UODO do sądu administracyjnego.

Czerwony szyld Poczty Polskiej z żółtym logo pokryty śniegiem na tle zimowego krajobrazu.
Poczta Polska ukarana 978 tys. zł, konflikt interesów IOD w centrum uwagi (zdj. ilustracyjne)Artur SzczepanskiReporter

Spis treści:

  1. 978 tys. zł kary dla Poczty Polskiej, UODO potwierdza
  2. Jak PIT-11 doprowadził do postępowania w Poczcie Polskiej
  3. Brak procedur i jasnego podziału obowiązków
  4. Poczta Polska zaskarży decyzję UODO
  5. Skąd wzięła się kwota 978 tys. zł?
  6. Wyraźny sygnał dla wszystkich dużych firm

Sprawa kary dla Poczty Polskiej dotyczy jednej z kluczowych zasad RODO, a dokładnie niezależności inspektora ochrony danych. W praktyce oznacza to, że osoba odpowiedzialna za nadzór nad przestrzeganiem przepisów dotyczących danych osobowych nie może jednocześnie kierować zespołem, który te dane przetwarza. W przeciwnym razie kontrola staje się iluzoryczna, a ryzyko błędów i naruszeń rośnie. W przypadku Poczty Polskiej problem ujawnił się w wyniku incydentu dotyczącego dokumentu PIT-11, czyli zawierającego wrażliwe dane podatkowe pracowników. Poczta przesłała Interii Biznes oświadczenie w tej sprawie.

978 tys. zł kary dla Poczty Polskiej, UODO potwierdza

Decyzja Prezesa UODO Mirosława Wróblewskiego to administracyjna kara w wysokości 978 tys. zł. Sankcja dotyczyła nie samego incydentu z PIT-11, lecz strukturalnego problemu w organizacji spółki.

Okazało się bowiem, że inspektor ochrony danych pełnił równocześnie stanowisko kierownicze i merytoryczne w obszarze przetwarzania danych osobowych. W praktyce oznaczało to, że nadzorca odpowiadał za działania, które sam nadzorował, co uniemożliwiało pełną niezależność i obiektywność kontroli.

Prezes UODO wprost wskazał, że taka sytuacja jest niedopuszczalna. "Doszło do konfliktu interesu polegającego na braku możliwości zapewnienia niezależności działania IOD z uwagi na jednoczesne sprawowanie przez niego stanowiska kierowniczego oraz merytorycznego" - czytamy w komunikacie na temat sprawy.

Organ podkreślił, że niezależność inspektora nie jest kwestią formalną. Nie wystarczy, że spółka teoretycznie powołała IOD. Niezależność musi być realna, merytorycznie i organizacyjnie zapewniona w strukturze firmy.

Zobacz również:

UOKiK ukarał PKO BP wielomilionową karą w związku ze stosowanymi klauzulami (zdj. ilustracyjne)
Firma

PKO BP ukarane blisko 80 mln zł kary. UOKiK wskazuje na niedozwolone klauzule

Agata Siwek
Agata Siwek

Jak PIT-11 doprowadził do postępowania w Poczcie Polskiej

Bezpośrednim impulsem do kontroli był incydent, w którym osoba nieuprawniona uzyskała dostęp do danych zawartych w dokumencie PIT-11. Takie dokumenty zawierają wrażliwe informacje finansowe pracowników i wymagają szczególnej ochrony. Zgłoszenie spółki uruchomiło postępowanie wyjaśniające z urzędu.

W toku postępowania UODO zauważył, że problem wykracza poza pojedyncze zdarzenie. Okazało się, że struktura organizacyjna Poczty Polskiej nie zapewniała realnej niezależności IOD, gdyż osoba pełniąca tę funkcję nadzorowała jednocześnie zespół przetwarzający dane, co rodziło ryzyko konfliktu interesów i osłabiało skuteczność nadzoru.

Brak procedur i jasnego podziału obowiązków

Dalsze ustalenia organu wykazały, że spółka nie przeprowadziła analizy konfliktu interesów ani nie określiła w dokumentach wewnętrznych, która z pełnionych przez IOD ról ma pierwszeństwo w razie kolizji obowiązków. Nie sprecyzowano także, ile czasu inspektor powinien poświęcać na nadzór nad danymi osobowymi, a ile na pozostałe zadania kierownicze.

Takie niedoprecyzowanie zasad w praktyce oznaczało, że inspektor nie miał możliwości skutecznego wykonywania swojej funkcji. Prezes UODO zwrócił uwagę, że powiązanie roli IOD z innymi obowiązkami w tym samym obszarze sprawia, że nadzorca danych staje się zależny od kierownictwa, a nie od przepisów RODO.

"Niedopuszczalne jest bowiem związanie IOD poleceniami mocodawcy i skoncentrowanie obu funkcji - administratora danych osobowych oraz niezależnego inspektora - przez wyznaczenie ich jednej osobie" - wyjaśniono.

To nie pierwszy przypadek, w którym Prezes UODO zwraca uwagę na problemy Poczty Polskiej w obszarze ochrony danych. Spółka wcześniej otrzymywała upomnienia i nakazy dostosowania przetwarzania danych do RODO, co pokazuje, że naruszenia miały charakter systemowy i powtarzający się. Organ podkreśla, że długotrwałe problemy organizacyjne mogą osłabiać ochronę danych i zwiększać ryzyko nowych naruszeń.

Poczta Polska zaskarży decyzję UODO

Poczta Polska przesłała Interii Biznes oświadczenie w sprawie kary wymierzonej przez UODO. W opinii spółki nie bez znaczenia były niedawne zmiany, jakie zaszły w firmie.

- W swojej decyzji Prezes Urzędu Ochrony Danych Osobowych wskazał, że naruszenie trwało od momentu obowiązywania przepisów RODO - do listopada 2024 r. Wówczas doszło do zmian w strukturze organizacyjnej spółki i podjęto działania naprawcze, które skutkowały wyodrębnieniem funkcji Inspektora Ochrony Danych, jako niezależnej komórki organizacyjnej podległej bezpośrednio zarządowi - przekazała Interii Biznes Joanna Trzaska-Wieczorek.

W oświadczeniu podkreślono, że "to aktualny zarząd spółki dostrzegł i zmienił podejście do umiejscowienia IOD w ramach Poczty Polskiej". - Niezależnie od powyższego, spółka wnikliwie przeanalizowała otrzymaną decyzję, nie zgadza się z przedstawioną w niej argumentacją i dlatego zaskarży ją do sądu administracyjnego - dodała Joanna Trzaska-Wieczorek.

Skąd wzięła się kwota 978 tys. zł?

Do ustalenia kary Prezes UODO wziął pod uwagę wartość obrotu Poczty Polskiej za 2024 rok. Naruszenie oceniono jako średniego poziomu, ale na wymiar kary wpłynęły także działania spółki w trakcie postępowania. Poczta Polska wyodrębniła funkcję IOD i podporządkowała ją bezpośrednio zarządowi, co poprawiło warunki organizacyjne, ale nie anulowało obowiązku ukarania za wcześniejsze zaniedbania.

Kwota 978 tys. zł, czyli niemal milion złotych, pokazuje, że w dużych spółkach nawet formalne niedociągnięcia w strukturze organizacyjnej mogą skutkować realnymi, wysokimi karami finansowymi.

Wyraźny sygnał dla wszystkich dużych firm

Decyzja Prezesa UODO jest jasnym komunikatem: w organizacjach przetwarzających dane wrażliwe, takie jak PIT-11, IOD musi być realnie niezależny. Łączenie tej funkcji z kierownictwem w tym samym obszarze zwiększa ryzyko konfliktu interesów i może skończyć się karą liczonymi w setkach tysięcy złotych. Struktura organizacyjna i podział obowiązków mają tu znaczenie nie tylko formalne, ale finansowe i praktyczne.

Agata Siwek

"Szczerze o pieniądzach": Zmiana czy pozórErnest BodziuchSzczerze o pieniądzach
Masz sugestie, uwagi albo widzisz błąd?

Najnowsze