Uczelnia Łazarskiego z upomnieniem UODO za naruszenie przepisów dotyczących IOD

Opracowanie: Michał Kowalski

Zasady współpracy uniwersytetu z inspektorem ochrony danych zostały przeanalizowane przez Prezesa UODO w trakcie postępowania, podczas którego zapytano uczelnię o szczegóły i zbadano jej odpowiedzi. Jak ustalono, uczelnia nie zadbała o to, aby inspektor ochrony danych był właściwie i szybko angażowany we wszystkie kwestie związane z ochroną danych osobowych, ponieważ nie wprowadziła konkretnych rozwiązań w tym zakresie, np. w polityce ochrony danych lub innych wewnętrznych przepisach. Brakowało także rozwiązań, które zapewniałyby IOD odpowiednie zasoby do utrzymania jego wiedzy specjalistycznej. Do 9 października 2023 r. uczelnia nie wprowadziła także rozwiązań, które zagwarantowałyby, że w ramach wykonywania swoich obowiązków Inspektor Ochrony Danych nie będzie otrzymywał instrukcji dotyczących realizacji tych zadań.

Z kolei do 3 kwietnia 2023 r. uczelnia nie wprowadziła środków, które zapewniłyby, że inne zadania i obowiązki pełnione przez IOD nie będą prowadzić do konfliktu interesów. Zmiana ta nastąpiła dopiero po aktualizacji przepisów dotyczących polityki ochrony danych osobowych oraz po wdrożeniu dodatkowego regulaminu.

Przed 9 października 2023 r. uczelnia nie zastosowała rozwiązań organizacyjnych ani innych mechanizmów, które zapewniłyby kontrolę nad poprawnym wykonywaniem wszystkich zadań przez IOD, takich jak regulacje dotyczące planu pracy IOD (w tym planu audytów) lub innych metod, które umożliwiłyby taką kontrolę. Zagadnienie to zostało uwzględnione dopiero we wcześniej wspomnianym regulaminie.

Ustalono, że dopiero wprowadzenie przez uniwersytet 3 kwietnia oraz 9 października 2023 roku nowych regulaminów wewnętrznych dotyczących obowiązków Inspektora Ochrony Danych pozwoliło na wyeliminowanie nieprawidłowości.

decyzja Prezesa UODO DKN.5110.14.2022