(+48) 12 350 60 88 [email protected]

„Mamy IOD, więc RODO mamy z głowy”? Najdroższy mit w polskich organizacjach

Obowiązki ADO, Porady, Zrozumieć RODO

Jeden z najczęstszych mitów w polskich organizacjach brzmi: „Mamy inspektora, więc RODO mamy z głowy.” To przekonanie – choć zrozumiałe – jest fundamentalnie błędne i może prowadzić do poważnych konsekwencji prawnych. W tym artykule wyjaśniamy, kto naprawdę odpowiada za ochronę danych osobowych, czego inspektor robić nie może i jak powinna wyglądać skuteczna współpraca administratora z inspektorem.

Mit, który kosztuje organizacje miliony

Mit, który często słyszymy „Mamy IOD-a, więc RODO jest po jego stronie. W razie kontroli to on odpowiada.”

Wyobraźmy sobie dyrektora szkoły, który po powołaniu inspektora ochrony danych odetchnął z ulgą: „Teraz to już jego sprawa.” Albo wójta, który uznał, że wszelkie decyzje dotyczące przetwarzania danych należą teraz do inspektora. Albo prezesa firmy, który traktuje inspektora jak „tarczę prawną” – kogoś, kto w razie kontroli UODO przejmie odpowiedzialność.

Tymczasem przepisy RODO są jednoznaczne:

Kluczowa zasada Za zgodność z prawem ochrony danych odpowiada wyłącznie administrator danych. Powołanie inspektora nie przenosi tej odpowiedzialności – ani w części, ani w całości.

Potwierdzają to decyzje UODO: kary nakładane są zawsze na administratora, nigdy na inspektora. To administrator ponosi konsekwencje naruszeń, wycieków danych i braku odpowiednich procedur.

Kto naprawdę odpowiada za zgodność z RODO?

Co mówi RODO Art. 5 ust. 2 RODO – zasada rozliczalności: administrator jest odpowiedzialny za przestrzeganie zasad przetwarzania danych i musi być w stanie wykazać ich przestrzeganie. Art. 24 RODO – administrator wdraża odpowiednie środki techniczne i organizacyjne oraz regularnie je przegląda i aktualizuje.

W praktyce oznacza to, że:

  • w urzędzie gminy – wójt, burmistrz lub prezydent decyduje, jakie dane są zbierane i jak są przetwarzane,
  • w szkole – dyrektor odpowiada za wszystkie procesy przetwarzania danych uczniów i pracowników,
  • w OPS-ie – kierownik jednostki jest odpowiedzialny za dane klientów i pracowników,
  • w firmie – zarząd lub prezes ponosi pełną odpowiedzialność za zgodność z RODO.

Jeśli urząd korzysta z zewnętrznej firmy IT mającej dostęp do danych – to administrator ma obowiązek zawrzeć z nią umowę powierzenia przetwarzania. Jeśli pracownicy przetwarzają dane bez upoważnień – odpowiada administrator. Jeśli brakuje rejestru czynności przetwarzania – jest to uchybienie administratora.

Kluczowa zasada Odpowiedzialność za zgodność z RODO nie jest „przekazywana” do IOD w momencie jego powołania. Pozostaje po stronie administratora – niezależnie od tego, czy korzysta z zewnętrznego IOD, czy etatowego.

Rola Inspektora Ochrony Danych – doradca, nie decydent

Artykuły 37–39 RODO precyzyjnie określają zadania inspektora. IOD:

  • informuje i doradza – wyjaśnia administratorowi, pracownikom i podmiotom przetwarzającym ich obowiązki wynikające z RODO,
  • monitoruje przestrzeganie prawa – sprawdza, czy organizacja stosuje się do przepisów, weryfikuje podział obowiązków i szkolenia,
  • prowadzi szkolenia pracowników przetwarzających dane osobowe,
  • doradza przy ocenach skutków (DPIA) i monitoruje ich przeprowadzanie,
  • współpracuje z UODO – pełni rolę punktu kontaktowego zarówno wobec organu nadzorczego, jak i osób, których dane dotyczą.

Inspektor to ekspert i doradca – ktoś, kto zna przepisy, ocenia ryzyko, wskazuje dobre praktyki i ostrzega przed naruszeniami.

Tak jak radca prawny nie podpisuje umów za swojego klienta, tak IOD nie wdraża procedur za administratora.

Czy IOD tworzy dokumentację RODO w organizacji?

Najczęstszy błąd organizacji Zlecanie inspektorowi stworzenia całej dokumentacji RODO „zamiast” organizacji – i traktowanie gotowych dokumentów jako dowodu spełnienia obowiązków.

Krótka odpowiedź: nie. Tworzenie dokumentacji RODO leży po stronie administratora, nie inspektora.

IOD może – i często to robi – dostarczyć wzory dokumentów, wskazać rekomendacje co do ich treści i zaopiniować przygotowane projekty. To wartościowa pomoc ekspercka. Ale wzór to tylko punkt wyjścia.

Administrator musi:

  • dostosować każdy dokument do realiów swojej organizacji,
  • uzupełnić go o rzeczywiste procesy i dane,
  • samodzielnie zatwierdzić i wdrożyć.

Przykład z praktyki IOD dostarcza urzędowi gminy wzór rejestru czynności przetwarzania. Wzór zawiera przykładowe procesy i pola do uzupełnienia. To zadaniem poszczególnych wydziałów i ich kierowników jest uzupełnienie rejestru o rzeczywiste procesy: obsługę wniosków, kadry, monitoring wizyjny, archiwizację dokumentów i dziesiątki innych czynności. IOD może pomagać, odpowiadać na pytania i weryfikować poprawność wpisów – ale nie może wypełnić rejestru „za urząd”, bo nie zna wszystkich procesów zachodzących w tej konkretnej organizacji.

To samo dotyczy klauzul informacyjnych, upoważnień, umów powierzenia i procedur reagowania na naruszenia.

Ważne Jeśli IOD przygotuje dokumentację „zamiast” administratora, a administrator podpisze ją bez weryfikacji i dostosowania – odpowiedzialność za ewentualne braki i tak spoczywa wyłącznie na administratorze. Podpis na dokumencie nie przenosi odpowiedzialności na IOD.

Dlaczego IOD nie może zatwierdzać dokumentów i procedur?

Prośby w stylu „Proszę, żeby IOD zatwierdził naszą politykę bezpieczeństwa” albo „Potrzebujemy zgody inspektora na wdrożenie systemu” są w praktyce bardzo częste. Administrator szuka potwierdzenia, że robi wszystko prawidłowo. Problem w tym, że takie „zatwierdzenie” jest sprzeczne z rolą IOD i przepisami RODO.

Co mówi RODO Art. 38 ust. 3 RODO – inspektor jest niezależny: nie może otrzymywać instrukcji dotyczących wykonywania swoich zadań ani być oceniany przez pryzmat podjętych decyzji.

Gdyby IOD zatwierdzał dokumenty i procedury, przestawałby być niezależnym doradcą i zaczynał pełnić rolę decyzyjną należącą do administratora. Oznaczałoby to klasyczny konflikt interesów: inspektor monitorujący zgodność własnych decyzji – co RODO wprost zakazuje.

Przykład z praktyki Urząd gminy prosi IOD o „zatwierdzenie” regulaminu monitoringu wizyjnego. IOD akceptuje dokument. Po kilku miesiącach okazuje się, że regulamin zawiera błędy – np. zbyt długi okres retencji nagrań. Kto odpowiada? Formalnie – administrator. Ale IOD, który „zatwierdził” dokument, stał się współautorem decyzji zarządczej, tracąc pozycję niezależnego kontrolera. W takiej sytuacji wszyscy tracą.

Jak prawidłowo korzystać z opinii IOD?

Zamiast prosić o „zatwierdzenie”, pytaj:

  • „Jakie ma Pan/Pani uwagi do tego dokumentu?”
  • „Czy z perspektywy RODO widzi Pan/Pani ryzyka w tym rozwiązaniu?”

IOD może i powinien:

  • zaopiniować projekt dokumentu i wskazać, co budzi wątpliwości,
  • rekomendować konkretne rozwiązania i wskazywać najlepsze praktyki,
  • ostrzec przed ryzykiem prawnym związanym z planowanym rozwiązaniem,
  • udokumentować swoje stanowisko, jeśli administrator podejmuje decyzję wbrew jego rekomendacjom.

Decyzja zawsze należy do administratora. To on podpisuje dokument, wdraża procedurę i odpowiada za jej skutki.

Błędny model współpracy – gdy organizacja oczekuje od IOD „zrobienia wszystkiego”

W praktyce wiele organizacji szuka inspektora, który w ramach jednej umowy:

  • stworzy polityki bezpieczeństwa i regulaminy,
  • wypełni rejestr czynności przetwarzania,
  • przygotuje klauzule informacyjne,
  • nada upoważnienia pracownikom,
  • podejmie decyzje dotyczące sposobów przetwarzania danych.

Takie oczekiwania są zrozumiałe – RODO jest skomplikowane, zasobów brakuje, a presja na zgodność z przepisami jest realna. Problem w tym, że model ten jest fundamentalnie sprzeczny z RODO i zamiast chronić organizację, naraża ją na większe ryzyko.

Umowa z IOD nie zmienia przepisów RODO

Nawet jeśli w umowie z inspektorem zapisano, że „IOD prowadzi dokumentację”, „prowadzi rejestr” czy „nadaje upoważnienia” – takie zapisy nie mają mocy prawnej w świetle RODO i nie przenoszą odpowiedzialności z administratora na inspektora.

Art. 5 ust. 2 oraz art. 24 RODO są jednoznaczne: to administrator odpowiada za zgodność przetwarzania z przepisami. Żadna umowa cywilnoprawna tego nie zmienia.

W razie kontroli UODO inspektorzy nie analizują treści umów z IOD – patrzą na to, jak organizacja działa w rzeczywistości: kto faktycznie podejmuje decyzje dotyczące przetwarzania danych, kto zatwierdza dokumenty, kto prowadzi rejestr czynności przetwarzania, kto reaguje na naruszenia. Zapis w umowie sprzeczny z rolami określonymi w RODO nie chroni administratora – daje mu jedynie złudne poczucie bezpieczeństwa, które w razie kontroli okazuje się bezwartościowe.

Ważne Organ nadzorczy patrzy na praktykę, nie na deklaracje w umowie. Jeśli w rzeczywistości to IOD prowadził rejestry, tworzył dokumentację i podejmował decyzje – administrator nie może zasłonić się zapisem umownym.

Kluczowa zasada Administrator, który podpisał umowę, w której IOD „przejął RODO”, ma jedynie złudne poczucie bezpieczeństwa. W razie kontroli UODO to nie inspektor stanie przed organem nadzorczym – stanie administrator. I to administrator zapłaci ewentualną karę.

IOD traci niezależność – konflikt interesów

Jeżeli IOD sam tworzy dokumentację, wypełnia rejestry i nadaje upoważnienia – przestaje być niezależnym doradcą i staje się osobą zarządzającą przetwarzaniem danych. Oznacza to, że nie może już obiektywnie oceniać zgodności tych działań z przepisami – bo sam jest ich autorem.

To klasyczny konflikt interesów wprost zakazany przez art. 38 ust. 3 RODO.

Zmiana IOD „na takiego, który zrobi wszystko” nie rozwiązuje problemu

Najczęstszy błąd organizacji „Skoro nasz IOD nie chce robić dokumentacji, znajdziemy takiego, który będzie.”

Inspektor, który zgadza się przejąć zadania należące do administratora, może sprawiać wrażenie kompleksowego usługodawcy. W praktyce jednak organizacja nie zyskuje bezpieczeństwa – traci je:

  • dokumentacja przygotowana bez głębokiej znajomości procesów organizacji jest często formalna i oderwana od rzeczywistości,
  • rejestr czynności przetwarzania wypełniony przez zewnętrznego doradcę może zawierać braki i nieścisłości,
  • organizacja nie buduje wewnętrznych kompetencji ani świadomości pracowników – a to one są prawdziwą tarczą przed naruszeniami.

Kluczowa zasada Organizacja, która oczekuje od inspektora przejęcia odpowiedzialności za RODO, w rzeczywistości nie pozbywa się ryzyka – jedynie je ukrywa. W razie kontroli UODO odpowie administrator, nie inspektor.

IOD to nie radca prawny – granice roli inspektora

W wielu organizacjach pojawia się jeszcze jedno błędne oczekiwanie: że inspektor ochrony danych będzie pełnił rolę stałej obsługi prawnej. W praktyce oznacza to prośby o analizę umów „linijka po linijce”, opiniowanie dokumentów pod kątem Kodeksu postępowania administracyjnego, prawa zamówień publicznych czy prawa pracy – a nawet ogólne pytania: „czy ta umowa jest zgodna z prawem?”.

Takie oczekiwania są zrozumiałe – IOD to ekspert, często z wykształceniem prawniczym, dobrze znający przepisy. Problem w tym, że rola inspektora jest precyzyjnie określona przez RODO i obejmuje wyłącznie obszar ochrony danych osobowych.

Czego RODO wymaga od IOD – a czego nie

Artykuły 37–39 RODO definiują zadania inspektora jednoznacznie: informowanie i doradzanie w zakresie RODO, monitorowanie zgodności z przepisami o ochronie danych, szkolenia, doradztwo przy DPIA oraz współpraca z UODO. Ani jedno słowo o kompleksowej obsłudze prawnej.

IOD nie jest i nie powinien być:

  • analitykiem prawnym oceniającym umowy pod kątem prawa cywilnego,
  • doradcą w zakresie KPA, prawa zamówień publicznych lub prawa pracy,
  • recenzentem wszystkich dokumentów organizacji pod kątem zgodności z całym systemem prawnym,
  • zastępcą radcy prawnego lub kancelarii.

Co IOD może – a co należy do radcy prawnego

Granica jest prosta: IOD ocenia umowę przez pryzmat ochrony danych osobowych, radca prawny – przez pryzmat całego systemu prawa. Poniżej konkretne przykłady po obu stronach tej granicy.

Typowe prośby, które trafiają do IOD, a powinny trafić do radcy prawnego

  • analiza umowy linijka po linijce pod kątem wszystkich jej postanowień,
  • ocena zgodności z Kodeksem cywilnym, KPA lub Prawem zamówień publicznych,
  • negocjowanie i ocena zapisów o karach umownych, gwarancjach, odstąpieniu od umowy i odpowiedzialności kontraktowej,
  • interpretacje przepisów branżowych niezwiązanych z ochroną danych osobowych (np. prawo oświatowe, ustawa o pomocy społecznej, prawo budowlane).

Co IOD może ocenić w umowie

IOD ocenia wyłącznie aspekty związane z przetwarzaniem danych osobowych, w szczególności:

  • czy umowa wymaga zawarcia klauzuli lub odrębnej umowy powierzenia przetwarzania (art. 28 RODO) oraz właściwe określenie ról stron (administrator / podmiot przetwarzający),
  • zakres przetwarzanych danych osobowych i jego uzasadnienie,
  • obowiązki bezpieczeństwa nałożone na drugą stronę,
  • zasady retencji danych i ich usuwania po zakończeniu umowy,
  • obowiązki stron w razie naruszenia ochrony danych,
  • zasady korzystania z podwykonawców (podpowierzenie) oraz ewentualne transfery danych poza Europejski Obszar Gospodarczy.

Natomiast ocena tej samej umowy pod kątem jej ważności, zgodności z Kodeksem cywilnym, prawa zamówień publicznych czy prawa pracy należy do radcy prawnego lub adwokata. To dwie różne kompetencje, których nie należy mylić ani łączyć w jednej osobie.

IOD nie zastępuje obsługi prawnej organizacji – tak samo jak radca prawny nie zastępuje IOD. Warto pamiętać, że opinia IOD dotyczy ryzyk związanych z ochroną danych osobowych i nie stanowi potwierdzenia legalności umowy w rozumieniu prawa cywilnego, KPA ani prawa zamówień publicznych.

Przykład z praktyki Kierownik OPS przesyła inspektorowi 30-stronicową umowę z firmą informatyczną z pytaniem: „Czy ta umowa jest zgodna z prawem?” IOD może ocenić, czy umowa zawiera właściwe postanowienia dotyczące powierzenia przetwarzania danych – i taką ocenę powinien przeprowadzić. Ale weryfikacja zapisów dotyczących kar umownych, gwarancji, warunków rozwiązania umowy czy zgodności z prawem zamówień publicznych to zadanie dla radcy prawnego.

Dlaczego mieszanie ról szkodzi organizacji

Oczekiwanie, że IOD zastąpi obsługę prawną, prowadzi do konkretnych problemów:

  • przeciążenie inspektora zadaniami niezwiązanymi z jego funkcją i opóźnienia w realizacji właściwych obowiązków (monitorowanie, szkolenia, DPIA),
  • błędne oczekiwania co do zakresu i skutków opinii IOD – inspektor ocenia ryzyko w obszarze danych osobowych, nie całość dokumentu,
  • luki w obsłudze prawnej – organizacja może być błędnie przekonana, że „IOD to sprawdził”, podczas gdy umowa nie była analizowana przez właściwego specjalistę.

Kluczowa zasada IOD ocenia ryzyka związane z przetwarzaniem danych osobowych. Radca prawny analizuje zgodność dokumentów z całym systemem prawa. Obie role są ważne – i żadna nie zastępuje drugiej.

Czego IOD nie może robić – lista zakazanych ról

Poniższe sytuacje są sprzeczne z RODO i należy ich unikać:

  • IOD jako administrator systemów IT – jeśli inspektor nadaje i odbiera dostępy w systemach przetwarzających dane, de facto decyduje o sposobach przetwarzania, co stanowi konflikt interesów,
  • IOD wdrażający RODO „zamiast” organizacji – inspektor może przygotować wzór polityki bezpieczeństwa i wskazać, co powinna zawierać, ale to dyrektor lub wójt ją zatwierdza i odpowiada za jej stosowanie,
  • IOD podpisujący umowy powierzenia – umowy te podpisuje administrator lub osoba przez niego upoważniona, nie inspektor,
  • IOD jako jedyna osoba „odpowiedzialna za RODO” – ochrona danych to obowiązek każdego pracownika na jego stanowisku; IOD koordynuje i doradza, ale nie zastępuje całej organizacji,
  • IOD tworzący i „zatwierdzający” dokumentację – to administrator tworzy, dostosowuje i wdraża dokumentację, IOD opiniuje i doradza.

Jak prawidłowo współpracować z Inspektorem Ochrony Danych

Poniższa lista pokazuje, jak powinien wyglądać właściwy podział ról między administratorem a inspektorem.

Co robi administrator danych (ADO)?

✅ Podejmuje decyzje dotyczące celów i sposobów przetwarzania danych,

✅ Wdraża środki techniczne i organizacyjne (systemy, procedury, szkolenia),

✅ Podpisuje umowy powierzenia przetwarzania z podmiotami zewnętrznymi,

✅ Wydaje upoważnienia pracownikom do przetwarzania danych,

✅ Zatwierdza i egzekwuje polityki ochrony danych oraz procedury wewnętrzne,

✅ Prowadzi rejestr czynności przetwarzania i rejestr naruszeń,

✅ Odpowiada za wdrożenie i aktualizację dokumentacji RODO.

Co robi IOD?

✅ Doradza administratorowi w zakresie obowiązków wynikających z RODO,

✅ Monitoruje przestrzeganie przepisów w organizacji,

✅ Dostarcza wzory dokumentów i rekomendacje dotyczące ich treści,

✅ Opiniuje projekty dokumentów i wskazuje ryzyka,

✅ Szkoli pracowników z zasad ochrony danych,

✅ Doradza przy ocenach skutków (DPIA),

✅ Pełni rolę punktu kontaktowego wobec UODO i osób, których dane dotyczą.

Czego IOD nie robi?

❌ Nie tworzy dokumentacji „zamiast” organizacji,

❌ Nie zatwierdza dokumentów, procedur ani systemów,

❌ Nie podejmuje decyzji dotyczących przetwarzania danych,

❌ Nie podpisuje umów powierzenia w imieniu administratora,

❌ Nie nadaje upoważnień pracownikom,

❌ Nie ponosi odpowiedzialności za zgodność organizacji z RODO.

Przykład z praktyki Urząd gminy wdraża nowy system do obsługi wniosków. Prawidłowy przebieg współpracy wygląda tak:

  1. Wójt informuje IOD o planowanym wdrożeniu.
  2. IOD analizuje, czy konieczna jest ocena skutków (DPIA) i rekomenduje jej przeprowadzenie.
  3. IOD doradza, jakie klauzule powinna zawierać umowa z dostawcą systemu.
  4. IOD opiniuje projekt umowy i zgłasza uwagi – ale jej nie podpisuje i nie zatwierdza.
  5. Wójt podejmuje decyzję: zatwierdza wdrożenie, podpisuje umowę, wydaje upoważnienia pracownikom.

Co administrator danych powinien zapewnić w swojej organizacji

Realizacja zasady rozliczalności (art. 5 ust. 2 RODO) wymaga konkretnych, udokumentowanych działań po stronie administratora. Oto kluczowe elementy:

Dokumentacja i rejestry

  • Rejestr czynności przetwarzania danych (art. 30 RODO) – aktualny, dostosowany do specyfiki organizacji, opracowany przez jej pracowników,
  • Rejestr naruszeń ochrony danych – obejmujący także te naruszenia, które nie zostały zgłoszone do UODO,
  • Oceny skutków dla ochrony danych (DPIA) – dla procesów wysokiego ryzyka (np. monitoring wizyjny, przetwarzanie danych wrażliwych).

Umowy i upoważnienia

  • Umowy powierzenia przetwarzania z każdym podmiotem zewnętrznym mającym dostęp do danych (firmy IT, biura rachunkowe, dostawcy usług chmurowych) – podpisane przez administratora,
  • Upoważnienia do przetwarzania danych osobowych dla każdego pracownika mającego dostęp do danych – wydawane przez administratora.

Procedury i polityki

  • Polityka ochrony danych – opisująca zasady przetwarzania danych w organizacji, zatwierdzona przez administratora,
  • Procedura reagowania na naruszenia – z jasno określonymi krokami, osobami odpowiedzialnymi i terminami (72 godziny na zgłoszenie do UODO),
  • Procedura realizacji praw osób, których dane dotyczą – dostęp, sprostowanie, usunięcie, sprzeciw.

Szkolenia i świadomość

  • Regularne szkolenia pracowników – nie tylko przy zatrudnieniu, ale cyklicznie,
  • Wyznaczenie osób odpowiedzialnych za ochronę danych w poszczególnych działach lub jednostkach organizacyjnych.

Klauzule informacyjne

  • Aktualne klauzule informacyjne (art. 13 i 14 RODO) dla każdego procesu zbierania danych od osób fizycznych – przygotowane i wdrożone przez administratora na podstawie rekomendacji IOD.

Podsumowanie – trzy zasady, które warto zapamiętać

IOD doradza i monitoruje – administrator decyduje i odpowiada.

Inspektor ochrony danych to wartościowy partner w budowaniu kultury ochrony prywatności. Dobry IOD wskaże ryzyka, dostarczy wzory dokumentów, przeprowadzi szkolenie, wyjaśni przepisy i będzie punktem kontaktowym wobec UODO.

Jednak IOD:

  • nie tworzy dokumentacji zamiast organizacji,
  • nie zatwierdza dokumentów, procedur ani systemów – bo prowadziłoby to do konfliktu interesów sprzecznego z art. 38 ust. 3 RODO,
  • nie ponosi odpowiedzialności za naruszenia – odpowiada zawsze administrator.

Ważne Żadna umowa z inspektorem nie przenosi odpowiedzialności za zgodność z RODO na IOD. Niezależnie od tego, co zostało zapisane w umowie, w razie kontroli UODO odpowie administrator: dyrektor szkoły, wójt, kierownik OPS lub prezes firmy.

Organizacja, która oczekuje od inspektora przejęcia odpowiedzialności za RODO, nie pozbywa się ryzyka – jedynie je ukrywa. Właśnie dlatego warto zainwestować w zrozumienie własnej roli i zbudować z IOD relację opartą na rzeczywistym podziale zadań.

IOD doradza i opiniuje. Administrator decyduje i wdraża. To właśnie ten podział sprawia, że ochrona danych w organizacji działa naprawdę.