Niezależność IOD to nie formalność. Lekcja z kary dla Poczty Polskiej

Wyobraź sobie inspektora ochrony danych, który w poniedziałek o dziewiątej rano siada na naradzie zarządu jako kierownik komórki odpowiedzialnej za przetwarzanie danych — projektuje procesy, ustala, jakie systemy wdrożyć, decyduje, które dane i po co zbierać. A o jedenastej, w tym samym gabinecie, ma w pełni niezależnie ocenić, czy te same procesy są zgodne z RODO, i w razie czego donieść na samego siebie do organu nadzorczego. Brzmi jak żart o człowieku, który kontroluje własną pracę i zawsze wystawia sobie piątkę. Tyle że dla Poczty Polskiej ten żart skończył się decyzją administracyjną i karą blisko miliona złotych.

26 stycznia 2026 roku Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski poinformował o nałożeniu na Pocztę Polską S.A. administracyjnej kary pieniężnej w wysokości 978 tysięcy złotych. Nie za wyciek, nie za włamanie, nie za podatność w systemie. Za to, że spółka nie zapewniła, by jej inspektor ochrony danych działał niezależnie — bo ten sam człowiek pełnił równocześnie stanowisko kierownicze i merytoryczne bezpośrednio związane z przetwarzaniem danych, których miał strzec. To jest decyzja, którą powinien przeczytać każdy wójt, każdy prezes spółki komunalnej i każdy właściciel firmy, który kiedyś wyznaczył inspektora „z tego, co było pod ręką", bo akurat ktoś z działu IT albo z sekretariatu znał się trochę na przepisach.

Anatomia decyzji: jedna osoba w dwóch nie do pogodzenia rolach

Sprawa zaczęła się niepozornie i — co warto podkreślić — od uczciwości samej spółki. To Poczta Polska zgłosiła organowi naruszenie ochrony danych: doszło do nieuprawnionego dostępu do danych osobowych zawartych w dokumencie PIT-11. Zgłoszenie naruszenia jest obowiązkiem z art. 33 RODO i akurat ten obowiązek spółka wykonała. Problem w tym, że postępowanie wyjaśniające, które organ wszczął po zgłoszeniu, odsłoniło coś znacznie poważniejszego niż pojedynczy incydent. Odsłoniło wadę konstrukcyjną w samym fundamencie systemu ochrony danych — sposób, w jaki usytuowano inspektora.

Prezes UODO ustalił, że doszło do konfliktu interesów polegającego na braku możliwości zapewnienia niezależności działania inspektora z uwagi na to, że jednocześnie sprawował on stanowisko kierownicze oraz stanowisko merytoryczne bezpośrednio związane z przetwarzaniem danych osobowych. Mówiąc bez ogródek: osoba, która z jednej strony decydowała o celach i sposobach przetwarzania danych w organizacji, z drugiej miała te same decyzje bezstronnie monitorować i piętnować, gdy łamią prawo. Organ ujął to dosadnie — niedopuszczalne jest wiązanie inspektora poleceniami administratora i koncentrowanie obu funkcji, administratora danych i niezależnego inspektora, w rękach jednej osoby. Spółka zapowiedziała zaskarżenie decyzji do Wojewódzkiego Sądu Administracyjnego, co jest jej pełnym prawem, ale samo postawienie zarzutu jest tu ważniejsze niż jego dalsze losy. Po raz kolejny organ nadzorczy powiedział wprost: nie interesuje mnie, że inspektor był kompetentny i pracowity. Interesuje mnie, czy był niezależny. A nie był.

Art. 38 RODO: niezależność nie jest przywilejem, jest warunkiem

Żeby zrozumieć, dlaczego ta kara jest nie tylko dotkliwa, ale i przewidywalna, trzeba wrócić do litery rozporządzenia. RODO poświęca inspektorowi trzy artykuły — 37, 38 i 39 — i każdy z nich mówi w gruncie rzeczy o tym samym: inspektor ma być sumieniem organizacji, a sumienia nie da się trzymać na krótkiej smyczy. Artykuł 37 nakłada obowiązek wyznaczenia inspektora między innymi na organy i podmioty publiczne oraz na administratorów, których główna działalność polega na przetwarzaniu danych na dużą skalę. Artykuł 39 wylicza jego zadania: informowanie, doradzanie, monitorowanie przestrzegania przepisów, współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego.

Serce sprawy bije jednak w artykule 38. Jego ustęp trzeci stanowi, że inspektor nie otrzymuje instrukcji dotyczących wykonywania swoich zadań, nie jest odwoływany ani karany za ich wypełnianie i podlega bezpośrednio najwyższemu kierownictwu administratora. To są trzy gwarancje niezależności: brak instrukcji, ochrona przed represją i bezpośrednia linia do szczytu organizacji z pominięciem pośredników, którzy mogliby inspektora uciszyć. Ustęp szósty dopowiada resztę — inspektor może wykonywać inne zadania i obowiązki, ale administrator musi zapewnić, by nie powodowały one konfliktu interesów. I to jest dokładnie ten przepis, o który potknęła się Poczta Polska. RODO nie zabrania inspektorowi mieć drugiego zajęcia. Zabrania mu mieć takie drugie zajęcie, w którym sam sobie wyznacza pracę do skontrolowania. Różnica jest subtelna w teorii i brutalna w skutkach.

Konflikt interesów: kto w organizacji nie może pełnić funkcji IOD

Skoro przepis mówi o konflikcie interesów, ale go nie definiuje, pojawia się praktyczne pytanie: które konkretnie role w organizacji wykluczają jednoczesne pełnienie funkcji inspektora? Odpowiedź dała jeszcze Grupa Robocza Artykułu 29 w wytycznych WP243, przyjętych później przez Europejską Radę Ochrony Danych i traktowanych dziś jako kanon interpretacyjny. Reguła jest elegancka w swojej prostocie: konflikt interesów powstaje wszędzie tam, gdzie inspektor miałby określać cele i sposoby przetwarzania danych, bo wtedy musiałby kontrolować decyzje, które sam podjął.

W praktyce wytyczne wskazują palcem na całą górną półkę organizacji — prezesa zarządu, dyrektora operacyjnego, dyrektora finansowego, dyrektora medycznego, kierownika działu kadr, kierownika marketingu, a w szczególności kierownika działu informatyki. To właśnie te stanowiska wyznaczają, jakie dane organizacja zbiera, w jakich systemach i w jakim celu. Połączenie którejkolwiek z tych funkcji z funkcją inspektora jest jak postawienie kierowcy rajdowego w roli sędziego, który ma go ukarać za przekroczenie prędkości. Co istotne, konflikt nie kończy się na zarządzie. Pojawia się także na niższych szczeblach, jeśli rola wiąże się z realnym decydowaniem o przetwarzaniu — administrator systemu dziedzinowego, kierownik zespołu obsługującego newralgiczną bazę, koordynator projektu wdrażającego nowy system. Test jest zawsze ten sam: czy ta osoba w swojej drugiej roli tworzy coś, co w roli inspektora musiałaby później oceniać. Jeśli tak, mamy konflikt — niezależnie od tego, jak uczciwa i kompetentna jest sama osoba.

Warto zatrzymać się przy tym ostatnim zastrzeżeniu, bo to ono najczęściej usypia czujność zarządów. Konflikt interesów w rozumieniu RODO nie jest oskarżeniem o nieuczciwość. Nikt nie twierdzi, że inspektor Poczty Polskiej działał w złej wierze ani że audytor pełniący funkcję inspektora w Toyota Banku knuł przeciwko klientom. Konflikt interesów jest wadą strukturalną, a nie moralną — istnieje obiektywnie, z samego nałożenia ról, niezależnie od intencji i charakteru osoby, która te role łączy. Organ nadzorczy nie bada, czy inspektor był sumienny; bada, czy jego usytuowanie w organizacji w ogóle pozwalało mu być niezależnym. To rozróżnienie jest kluczowe, bo zdejmuje dyskusję z poziomu „przecież ufamy naszemu inspektorowi" i przenosi ją tam, gdzie jej miejsce — na poziom schematu organizacyjnego i linii podległości. Zaufanie do człowieka nie naprawia wadliwej struktury, tak jak najlepszy kierowca nie zmieni faktu, że nie może jednocześnie prowadzić i wystawiać sobie mandatów.

Standard z Luksemburga: wyrok TSUE w sprawie C-453/21

Organ nadzorczy nie działa tu w próżni interpretacyjnej. Za jego decyzją stoi twardy wyrok Trybunału Sprawiedliwości Unii Europejskiej, który dwa lata wcześniej rozstrzygnął tę kwestię na poziomie całej Unii. W sprawie C-453/21, dotyczącej niemieckiej spółki X-FAB Dresden, Trybunał orzekł 9 lutego 2023 roku w odpowiedzi na pytania niemieckiego Federalnego Sądu Pracy. Stan faktyczny był pouczający: pan FC pracował w spółce ponad dwadzieścia lat, przewodniczył radzie zakładowej, a w 2015 roku został dodatkowo wyznaczony na inspektora ochrony danych. Pytanie brzmiało, czy te dwie role da się pogodzić.

Trybunał odpowiedział z chirurgiczną precyzją. Konflikt interesów w rozumieniu art. 38 ust. 6 RODO istnieje wtedy, gdy inspektorowi powierza się zadania lub obowiązki, które prowadziłyby do określania przez niego celów i sposobów przetwarzania danych u administratora — ponieważ monitorowanie tych celów i sposobów musi być prowadzone niezależnie. To zdanie jest sercem całej doktryny niezależności inspektora i to właśnie do niego, wprost lub nie, odwołuje się polski organ, gdy ocenia usytuowanie inspektora w Poczcie Polskiej, Toyota Banku czy w urzędzie gminy. Przy okazji Trybunał wzmocnił też samą pozycję inspektora, dopuszczając w prawie krajowym ochronę przed odwołaniem inspektora będącego pracownikiem inaczej niż z ważnej przyczyny, o ile taka regulacja nie zagraża celom rozporządzenia. Innymi słowy — niezależność inspektora to nie miękki postulat z prezentacji szkoleniowej, lecz norma prawna, którą Trybunał traktuje śmiertelnie poważnie, a krajowe organy egzekwują karami.

Toyota Bank Polska: krajowy precedens, który sąd utrzymał

Kto sądzi, że kara dla Poczty Polskiej to wypadek przy pracy albo nadgorliwość nowego prezesa UODO, powinien cofnąć się o kilka miesięcy. Toyota Bank Polska S.A. przeszedł przez dokładnie ten sam mechanizm i — co kluczowe — jego sprawa zdążyła już przejść próbę sądu. Organ nałożył na bank kary w łącznej wysokości 576 220 złotych, z czego 261 918 złotych dotyczyło właśnie niewłaściwego usytuowania inspektora ochrony danych, a 314 302 złotych — pominięcia profilowania w rejestrze czynności przetwarzania i w ocenie skutków dla ochrony danych. Konstrukcja zarzutu o niezależność była niemal bliźniacza: inspektor zatrudniony był jako audytor bezpieczeństwa IT w departamencie bezpieczeństwa i podlegał bezpośrednio dyrektorowi tego departamentu, a ten dyrektor odpowiadał za procesy przetwarzania danych oraz za kontrole bezpieczeństwa, które inspektor miał niezależnie oceniać.

Bank bronił się argumentem, który słyszy się w niejednej organizacji: że podległość inspektora dyrektorowi miała charakter wyłącznie administracyjny, porządkowy, niewpływający na merytoryczną niezależność. Organ ten argument odrzucił, a Wojewódzki Sąd Administracyjny wyrokiem z 18 września 2025 roku oddalił skargę banku i potwierdził stanowisko Prezesa UODO. To bardzo ważny sygnał, bo pokazuje, że linia organu wytrzymuje kontrolę sądową. „Podległość tylko administracyjna" nie jest czarodziejskim zaklęciem, które rozpuszcza konflikt interesów — liczy się rzeczywista struktura zależności i to, czy inspektor mógł realnie skontrolować osobę, której był podporządkowany. Polska nie jest tu zresztą wyjątkiem; podobne rozstrzygnięcia zapadały w innych państwach, choćby belgijski organ ukarał operatora Proximus za analogiczne pomieszanie ról. Europa mówi tu jednym głosem.

Samorząd i spółki komunalne: inspektor, sekretarz, informatyk w jednym

Łatwo odetchnąć z ulgą i pomyśleć, że to kłopot wielkich, państwowych molochów, a nie zwykłego urzędu czy niewielkiej spółki. To złudzenie, i to złudzenie najgroźniejsze właśnie w sektorze publicznym oraz w komunalnym. W jednostkach samorządu terytorialnego i spółkach komunalnych konflikt interesów inspektora nie jest patologią — bywa rozwiązaniem domyślnym, wymuszonym przez braki kadrowe i budżetowe. W urzędzie gminy liczącej pięć tysięcy mieszkańców funkcję inspektora powierza się sekretarzowi, który jednocześnie nadzoruje obieg dokumentów i procesy przetwarzania. W spółce wodociągowej rolę tę bierze na siebie informatyk, który administruje systemami bilingowymi i decyduje o ich konfiguracji. W ośrodku pomocy społecznej inspektorem zostaje kierownik zespołu, który na co dzień zarządza najwrażliwszymi danymi podopiecznych.

W każdym z tych przypadków logika jest ta sama co w Poczcie Polskiej, tylko skala mniejsza, a czujność jeszcze niższa. Sekretarz, który projektuje obieg dokumentów, nie skontroluje bezstronnie własnego projektu. Informatyk, który postawił system, nie zapali czerwonej lampki nad jego własną luką. Kierownik, który zdefiniował proces przetwarzania, nie doniesie na siebie do organu. A trzeba pamiętać, że samorząd i spółki komunalne gromadzą dane wrażliwe w skali, o jakiej niejedna prywatna firma może tylko pomarzyć — dane o zdrowiu, o sytuacji materialnej, o dzieciach, o dłużnikach. Plan kontroli sektorowych Prezesa UODO konsekwentnie celuje w te właśnie obszary. Organizacja, która łączy w jednej osobie inspektora i decydenta przetwarzania, nie ma luki teoretycznej. Ma gotowy zarzut, czekający na pierwszą skargę albo pierwszą kontrolę.

NIS-2 dokłada warstwę: kierownictwo odpowiada osobiście

Do reżimu RODO doszła w tym roku druga, nakładająca się warstwa obowiązków. 3 kwietnia 2026 roku weszła w życie znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa, wdrażająca do polskiego prawa dyrektywę NIS-2 i rozszerzająca krąg adresatów do około 38 tysięcy podmiotów — w tym samorządów, szpitali, przedsiębiorstw wodociągowych, ciepłowni i spółek gospodarki odpadami. Ustawa wprowadza coś, co dla wielu zarządów jest nowością nie do przełknięcia: osobistą odpowiedzialność kierownictwa za wdrożenie i nadzorowanie systemu zarządzania bezpieczeństwem informacji. To kierownik podmiotu, a nie anonimowy „dział", odpowiada za to, że ryzykiem się zarządza, a zabezpieczenia są adekwatne.

Ta zmiana ustawia kwestię niezależności inspektora w nowym, ostrzejszym świetle. Jeżeli ta sama osoba ma w organizacji projektować zabezpieczenia w ramach obowiązków z ustawy o KSC, a jednocześnie z mocy RODO niezależnie oceniać zgodność przetwarzania, konflikt interesów rośnie do kwadratu — jest podwójny, bo dotyka obu reżimów naraz. Norma ISO/IEC 27001:2022, coraz częściej wymagana w przetargach i traktowana jako miara staranności, wprost nakazuje w zabezpieczeniu A.5.3 rozdzielenie obowiązków, tak by jedna osoba nie skupiała w rękach uprawnień pozwalających i wykonać działanie, i je samodzielnie zatwierdzić. Trzy porządki — RODO, ustawa o KSC i ISO 27001 — mówią więc to samo z trzech stron: ten, kto buduje, nie może być jedynym, który kontroluje. Organizacja, która uporządkuje usytuowanie inspektora, odhacza obowiązek z każdego z tych trzech porządków jednocześnie. Ta, która tego nie zrobi, jest potrójnie odsłonięta.

Outsourcing IOD: jak struktura rozwiązuje konflikt interesów

Tu dochodzimy do najważniejszego wniosku praktycznego, który z decyzji w sprawie Poczty Polskiej wynika niemal samoczynnie. Konfliktu interesów inspektora nie da się rozwiązać dobrymi chęciami, oświadczeniem o bezstronności ani zapewnieniem, że „u nas inspektor jest naprawdę niezależny, mimo że podlega dyrektorowi". Konflikt interesów jest problemem strukturalnym i wymaga rozwiązania strukturalnego. A najczystszym strukturalnym rozwiązaniem jest powierzenie funkcji inspektora podmiotowi z zewnątrz, który w danej organizacji nie pełni żadnej innej roli operacyjnej — nie zarządza jej IT, nie projektuje jej procesów, nie odpowiada za jej kadry ani marketing.

Zewnętrzny inspektor jest niezależny nie dlatego, że obiecał być bezstronny, lecz dlatego, że nie ma na czym budować konfliktu. Nie zatwierdzał wdrożenia systemu, więc może go bez skrępowania ocenić. Nie podlega dyrektorowi departamentu, którego pracę kontroluje, bo podlega bezpośrednio kierownictwu administratora dokładnie tak, jak chce art. 38 ust. 3 RODO. Nie boi się o własną premię ani o przedłużenie etatu, gdy musi napisać niewygodny wniosek. Outsourcing rozwiązuje przy okazji drugi, równie dotkliwy problem sektora publicznego — niedobór wykwalifikowanych specjalistów, których mała gmina czy spółka komunalna nie jest w stanie pozyskać na etat, konkurując o nich z korporacjami płacącymi wielokrotność samorządowego taryfikatora. Trzeba jednak od razu dodać zastrzeżenie, którego organ nigdy nie odpuści: outsourcing nie zdejmuje z kierownictwa odpowiedzialności za bezpieczeństwo danych. Inspektor z zewnątrz to niezależny partner i tarcza przed zarzutem konfliktu interesów, a nie sposób na umycie rąk. Odpowiedzialność administratora zostaje tam, gdzie była — na szczycie organizacji.

Outsourcing nie jest też rozwiązaniem, które kupuje się jak licencję i odhacza w rejestrze. Dobrze poprowadzony zaczyna się od umowy, która precyzuje zakres zadań inspektora, czas reakcji na incydent, częstotliwość przeglądów i — co bywa pomijane — gwarancję bezpośredniego kontaktu z kierownictwem z pominięciem pośredników, bo to właśnie ten kanał czyni inspektora niezależnym w sensie art. 38 ust. 3 RODO. Równie ważne jest doświadczenie sektorowe partnera. Spółka wodociągowa to nie kancelaria, urząd gminy to nie e-commerce, a sąd to nie bank — każdy z tych podmiotów działa w innym reżimie systemów dziedzinowych, innych terminach i innej kulturze organizacyjnej. Inspektor z zewnątrz, który nie rozumie, czym jest EZD, jak działa system bilingowy w wodociągach albo jakie dane gromadzi ośrodek pomocy społecznej, będzie niezależny, ale bezużyteczny. Sztuka polega na połączeniu obu cech: dystansu, który daje niezależność, i wiedzy, która daje skuteczność. Dopiero wtedy zewnętrzny inspektor przestaje być formalnym podpisem na dokumencie, a staje się realną tarczą — i przed nadużyciem, i przed zarzutem organu.

Sześć pytań, które ujawniają konflikt w Twojej organizacji

Zanim sięgniesz po umowę albo budżet, przeprowadź krótką, niewygodną autodiagnozę. Pytanie pierwsze: czy Twój inspektor ochrony danych pełni w organizacji jakąkolwiek drugą funkcję — kierownika IT, sekretarza, dyrektora, koordynatora projektu — w której decyduje o tym, jak i po co przetwarzane są dane. Pytanie drugie: komu Twój inspektor faktycznie podlega w strukturze — czy bezpośrednio kierownictwu, jak wymaga art. 38 ust. 3 RODO, czy dyrektorowi komórki, której pracę miałby kontrolować. Pytanie trzecie: czy gdyby inspektor musiał napisać krytyczny wniosek o nieprawidłowości w obszarze, którym sam zarządza, byłby w stanie zrobić to bez konfliktu lojalności wobec samego siebie.

Pytanie czwarte: czy potrafisz wskazać dokument — zarządzenie, umowę, zakres obowiązków — z którego wynika, że zadania inspektora nie powodują konfliktu interesów, czy jest to wyłącznie domniemanie. Pytanie piąte: czy w razie kontroli UODO jesteś w stanie wykazać, że świadomie oceniłeś ryzyko konfliktu interesów przy wyznaczaniu inspektora, a nie po prostu obsadziłeś funkcję tym, kto akurat był dostępny. Pytanie szóste: czy Twój inspektor ma realne kompetencje i czas, by funkcję pełnić, czy jest to rola dopisana komuś do i tak przeciążonego zakresu obowiązków „przy okazji". Jeżeli choć przy jednym z tych pytań poczułeś ukłucie niepokoju, masz tę samą lukę, którą organ wycenił Poczcie Polskiej na blisko milion złotych, a Toyota Bankowi — na ponad pół miliona. I tak jak w tamtych sprawach, luki tej nie zamknie zapewnienie o dobrych intencjach.

Dlaczego z Fib.Code: niezależny inspektor bez podwójnej roli

Fib.Code zajmuje się ochroną danych osobowych, bezpieczeństwem informacji i zgodnością z RODO, ISO 27001 oraz ustawą o krajowym systemie cyberbezpieczeństwa od strony, która w sprawie Poczty Polskiej okazała się decydująca — od strony niezależności tego, kto ma czuwać nad zgodnością. Pełnimy funkcję inspektora ochrony danych i Pełnomocnika ds. bezpieczeństwa informacji dla samorządów, sądów, spółek komunalnych i firm sektora MŚP jako podmiot z zewnątrz, który w obsługiwanej organizacji nie zarządza ani IT, ani kadrami, ani procesami przetwarzania. To nie jest deklaracja niezależności — to jej strukturalna gwarancja, bo nie mamy w Twojej organizacji żadnej drugiej roli, z której konflikt interesów mógłby wyrosnąć.

Działamy według trzech zasad. Po pierwsze, zaczynamy od audytu usytuowania funkcji — sprawdzamy, kto dziś pełni rolę inspektora, komu podlega i czy jego druga rola nie tworzy konfliktu, który czeka tylko na pierwszą skargę. Po drugie, tłumaczymy język przepisu na język struktury: art. 38 ust. 3 i 6 RODO, wyrok TSUE w sprawie C-453/21, zabezpieczenie A.5.3 z ISO 27001 zamieniamy na konkretne zakresy obowiązków, linie podległości i procedury, które wytrzymają kontrolę organu i sądu. Po trzecie, za funkcją inspektora stoi u nas zespół — prawnik, specjalista IT, audytor — a nie jeden konsultant z teczką, bo bezpieczeństwo informacji jest dziedziną zbyt rozległą, by udźwignęła ją jedna osoba. Efektem nie jest kolejny segregator na półkę, lecz inspektor, który naprawdę jest niezależny, i dokumentacja, która tę niezależność potrafi udowodnić.

Co zrobić w ten tydzień: przegląd usytuowania IOD

Nie odkładaj tego na „kiedyś". Zwołaj w tym tygodniu jedno krótkie spotkanie z osobą odpowiedzialną za zgodność i z kierownictwem. Postaw jeden punkt agendy: czy nasz inspektor ochrony danych pełni w organizacji drugą rolę, która decyduje o przetwarzaniu danych, i komu faktycznie podlega w strukturze. Z tego spotkania powinny wyjść trzy ustalenia — czy istnieje ryzyko konfliktu interesów, czy linia podległości inspektora prowadzi bezpośrednio do kierownictwa, oraz czy posiadamy dokument, który świadomy brak konfliktu potwierdza. Jeśli przy którymkolwiek ustaleniu pada „nie wiem" albo „chyba nie", masz pierwsze zadanie na najbliższe dni.

Sprawa Poczty Polskiej dojrzewała do kary w cieniu zgłoszonego incydentu z PIT-11, ale ukarano nie incydent — ukarano strukturę. Toyota Bank przekonał się, że tej struktury nie obroni argument o „wyłącznie administracyjnej" podległości, bo sąd go nie kupił. Twoja organizacja nie musi czekać na własną skargę, by się o tym przekonać. Konflikt interesów inspektora da się usunąć w jeden kwartał — przez przebudowę usytuowania funkcji albo przez powierzenie jej niezależnemu podmiotowi z zewnątrz. Pod warunkiem że potraktujesz to jako problem do rozwiązania dziś, a nie jako ryzyko do przemilczenia do następnej kontroli.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: outsourcing Pełnomocnika ds. bezpieczeństwa informacji, kara UODO za niepilnowane upoważnienia w aferze hejterskiej, kara UODO dla DPD i łańcuch podwykonawców RODO — razem składają się na mapę odpowiedzialności, która zaczyna się od tego, kto przetwarza dane, a kończy na tym, kto może to niezależnie skontrolować.