Inspektor Ochrony Danych (IOD) to jedna z najbardziej niejednoznacznych funkcji w strukturze organizacyjnej wynikającej z RODO. W wielu firmach IOD to ktoś kto „robi RODO” — pisze dokumenty, prowadzi szkolenia, odpowiada na pytania pracowników. Tymczasem RODO definiuje IOD zupełnie inaczej: jako niezależną funkcję doradczą i nadzorczą, której istotą jest właśnie ta niezależność od osób decydujących o przetwarzaniu danych.

Organizacje które o tym zapominają ponoszą konsekwencje. We wrześniu 2025 roku UODO ukarał spółkę medyczną karą 11 365 zł za sześcioletnie łączenie funkcji prezesa zarządu i IOD w jednej osobie — mimo że spółka była przekonana, że takie rozwiązanie jest dopuszczalne i optymalne.

Kiedy powołanie IOD jest obowiązkowe

Art. 37 ust. 1 RODO wskazuje trzy grupy podmiotów zobowiązanych do wyznaczenia IOD:

1. Organy i podmioty publiczne — z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości. Obowiązek dotyczy wszystkich organów władzy publicznej niezależnie od skali przetwarzania danych.

2. Podmioty których główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę — na przykład operatorzy telekomunikacyjni, platformy reklamowe, firmy ubezpieczeniowe, podmioty świadczące usługi monitoringu. Kluczowe jest słowo „główna działalność” — przetwarzanie danych musi stanowić zasadniczą, a nie poboczną czynność administratora.

3. Podmioty których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (art. 9 RODO) lub danych dotyczących wyroków skazujących — czyli danych o zdrowiu, genetycznych, biometrycznych, rasowych, przekonaniach religijnych. Dotyczy szpitali, przychodni, kancelarii prawnych obsługujących sprawy karne, firm zajmujących się analizą danych biometrycznych.

Jak rozumieć „dużą skalę”? RODO nie definiuje progu liczbowego. Przy ocenie uwzględnia się liczbę osób, zakres i różnorodność kategorii danych, czas trwania przetwarzania i zasięg geograficzny. Lekarz prowadzący własną praktykę nie przetwarza danych medycznych na dużą skalę. Sieć szpitali — już tak.

Kiedy IOD jest dobrowolny

Poza przypadkami obowiązkowymi administrator może wyznaczyć IOD dobrowolnie. Jeżeli to robi — musi stosować do niego wszystkie wymagania RODO dotyczące tej funkcji, w tym wymóg niezależności. Dobrowolne wyznaczenie IOD nie zwalnia z przestrzegania art. 38 RODO.

Kto może być IOD

Art. 37 ust. 5 RODO wymaga by IOD był wyznaczony na podstawie kwalifikacji zawodowych, wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań. RODO nie narzuca konkretnych certyfikatów — liczy się praktyczna wiedza.

IOD może być pracownikiem administratora lub podmiotem zewnętrznym (osobą fizyczną lub firmą świadczącą usługi IOD). Jeden IOD może obsługiwać grupę przedsiębiorstw lub kilka podmiotów publicznych jednocześnie.

Kto NIE może być IOD — konflikt interesów

To obszar gdzie UODO konsekwentnie zaostrza egzekwowanie przepisów. Art. 38 ust. 6 RODO stanowi że IOD może wykonywać inne zadania wyłącznie gdy nie prowadzi to do konfliktu interesów.

Prezes zarządu nie może być IOD — decyzja UODO DKN.5131.7.2025 z 12 września 2025 roku potwierdziła to jednoznacznie. Spółka medyczna przez prawie sześć lat powierzała tę funkcję prezesowi zarządu, argumentując że w sektorze medycznym nie ma konfliktu interesów. UODO odrzucił ten argument: osoba która wyznacza cele i sposoby przetwarzania danych nie może jednocześnie nadzorować zgodności tego przetwarzania z RODO.

Dyrektor IT odpowiedzialny za bezpieczeństwo nie może być IOD — IOD nie może nadzorować własnej pracy. UODO ukarał Toyota Bank m.in. za takie „złe usytuowanie IOD” w strukturze (decyzja DKN.5112.14.2022, kara 261 918 zł za tę część naruszenia).

Ogólna zasada: IOD nie może pełnić żadnej roli która wiąże się z podejmowaniem decyzji o celach lub sposobach przetwarzania danych. Zgodnie ze stanowiskiem UODO niedopuszczalne jest powołanie na IOD m.in. członka zarządu, dyrektora HR, CFO, dyrektora działu IT odpowiedzialnego za bezpieczeństwo informacji — jeżeli w ramach tych funkcji decydują o przetwarzaniu danych.

Zadania IOD

Art. 39 ust. 1 RODO wskazuje pięć głównych zadań inspektora:

Informowanie i doradzanie — administrator, podmiot przetwarzający i pracownicy powinni otrzymywać od IOD informacje o obowiązkach wynikających z RODO i innych przepisów o ochronie danych.

Monitorowanie przestrzegania przepisów — IOD monitoruje zgodność z RODO, wewnętrznymi politykami, podział obowiązków oraz przeprowadza powiązane audyty i szkolenia personelu.

Doradztwo przy DPIA — IOD doradza przy ocenach skutków dla ochrony danych i monitoruje ich przeprowadzanie.

Współpraca z UODO — IOD jest punktem kontaktowym dla organu nadzorczego.

Kontakt z osobami, których dane dotyczą — osoby fizyczne mogą kontaktować się z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych.

Czego IOD nie powinien robić — zgodnie z poradnikiem UODO z 2025 roku IOD nie powinien: zgłaszać naruszeń danych osobowych do UODO w imieniu administratora, zawiadamiać osób o naruszeniach w imieniu administratora, dokumentować naruszeń jeśli wiązałoby się to z podejmowaniem decyzji zastrzeżonych dla administratora, działać na podstawie pełnomocnictwa w sprawach dotyczących ochrony danych. Te działania należą do administratora — IOD doradza i monitoruje, nie decyduje ani nie działa w cudzym imieniu.

Pozycja IOD w organizacji

Art. 38 RODO nakłada na administratora konkretne obowiązki wobec IOD: angażowanie go we wszystkie sprawy dotyczące ochrony danych, zapewnienie niezbędnych zasobów i czasu, umożliwienie podnoszenia kwalifikacji, zapewnienie dostępu do danych osobowych i operacji przetwarzania.

IOD podlega bezpośrednio najwyższemu kierownictwu — ale nie może być tym kierownictwem. Nie może być odwoływany ani karany za wykonywanie swoich zadań. Nie może otrzymywać instrukcji dotyczących sposobu realizacji zadań IOD.

Zgłoszenie IOD do UODO

Administrator ma obowiązek zgłoszenia IOD do Prezesa UODO (art. 37 ust. 7 RODO) — imię i nazwisko oraz adres e-mail lub telefon. Każda zmiana — powołanie nowego IOD, odwołanie dotychczasowego, zmiana danych kontaktowych — wymaga niezwłocznej notyfikacji. Brak zgłoszenia zmiany był przedmiotem postępowań UODO.

Najczęstsze błędy

Łączenie funkcji IOD z rolami decyzyjnymi. Prezes, dyrektor HR, dyrektor IT jako IOD — naruszenie art. 38 ust. 6 RODO potwierdzone karami UODO.

IOD jako wykonawca zamiast doradcy. Organizacje które zlecają IOD pisanie dokumentów i wdrażanie procedur tworzą sytuację gdzie IOD nadzoruje własną pracę.

Brak zasobów dla IOD. IOD bez dostępu do systemów i dokumentacji nie może skutecznie monitorować zgodności.

Brak zgłoszenia zmiany IOD do UODO. Każda zmiana wymaga niezwłocznej notyfikacji.

Traktowanie IOD jako osoby odpowiedzialnej za naruszenia. IOD nie ponosi odpowiedzialności za naruszenia RODO w organizacji — odpowiedzialność spoczywa na administratorze.

Podsumowanie

Inspektor Ochrony Danych to niezależna funkcja doradcza i nadzorcza — nie wykonawcza. Jej istotą jest możliwość obiektywnej oceny działań administratora bez ryzyka konfliktu interesów. Kluczowe zasady: IOD obowiązkowy w podmiotach publicznych, przy monitorowaniu na dużą skalę i przetwarzaniu danych szczególnych kategorii na dużą skalę; prezes zarządu i inne osoby decyzyjne nie mogą być IOD; IOD doradza i monitoruje — nie decyduje i nie działa w imieniu administratora; zmianę IOD zgłaszamy do UODO bez zbędnej zwłoki.

FAQ