Zgodnie z art. 37 ust. 1 lit. a RODO administrator[1] i podmiot przetwarzający[2] wyznaczają inspektora ochrony danych, zawsze gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Rozporządzenie nie precyzuje, jakie jednostki należy rozumieć przez podmioty publiczne.
Zakres pojęcia organów i podmiotów publicznych obowiązanych do wyznaczenia inspektora

Podmioty te zostały jednak określone w art. 9 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781 ze zm.). Wskazany artykuł stanowi, że przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się:

1) jednostki sektora finansów publicznych,

2) instytuty badawcze,

3) Narodowy Bank Polski.

Prowadzenie czynności audytowych w obszarach związanych z ochroną danych osobowych budziło wiele dyskusji i kontrowersji. Dlatego też Ministerstwo Finansów i Prezes Urzędu Ochrony Danych Osobowych, biorąc pod uwagę charakter zadań realizowanych w jednostce przez Inspektora Ochrony Danych i audytora wewnętrznego oraz w celu zapewnienia ich niezależności, wypracowali zasady współpracy dotyczące audytu wewnętrznego w obszarze danych osobowych.

Zasady współpracy dotyczące audytu wewnętrznego w obszarze danych osobowych

W przedmiotowych zasadach wskazano, że zarówno inspektor ochrony danych, jak i audytor wewnętrzny wspierają kierownika jednostki sektora finansów publicznych w realizacji jej celów i zadań. Do zadań inspektora ochrony danych należy m.in. monitorowanie zgodności przetwarzania danych osobowych z obowiązującymi przepisami prawa. Natomiast zadaniami audytora wewnętrznego są m.in. ocena zgodności działalności jednostki z przepisami prawa (a zatem również przepisami prawa o ochronie danych osobowych) oraz procedurami wewnętrznymi, a także skuteczności i efektywności działania, ochrony zasobów oraz zarządzania ryzykiem. W związku z tym działania audytorów wewnętrznych i inspektorów ochrony danych powinny być komplementarne. W celu wsparcia prawidłowego funkcjonowania jednostki powinni oni wymieniać informacje i dokumenty niezbędne dla prawidłowej realizacji swoich zadań. Zarówno inspektorzy ochrony danych, jak i audytorzy podlegają bezpośrednio kierownikowi jednostki. Ich praca może podlegać jego kontroli, w tym tej zleconej podmiotom wewnętrznym i zewnętrznym. Zarówno w przypadku audytora wewnętrznego, jak i inspektora ochrony danych kluczową rolę odgrywa niezależność w realizowaniu zadań. Stąd audytorzy i inspektorzy muszą w swojej pracy uwzględniać wzajemną niezależność i nie wpływać na jej ograniczanie. Ministerstwo Finansów i Prezes Urzędu Ochrony Danych Osobowych zauważyli również, że w przypadku gdy audyt obejmuje zadania realizowane przez inspektora ochrony danych, audytor wewnętrzny powinien odnosić się do badanego obszaru, nie formułując wniosków dotyczących bezpośrednich działań inspektora ochrony danych. W tym zakresie ostateczne decyzje podejmuje kierownik jednostki. Jeżeli inspektor ochrony danych nie zgadza się ze stanowiskiem kierownika jednostki sektora finansów publicznych, powinien mieć możliwość przedstawienia swojego stanowiska, które powinno zostać uzasadnione i udokumentowane, Materiał ten może być przydatny w celach dowodowych w przypadkach oceny prawidłowości wykonywania funkcji inspektora ochrony danych w kontekście jego odpowiedzialności na gruncie przepisów prawa pracy lub kodeksu cywilnego (odpowiedzialności kontraktowej) przez właściwe organy. Inspektor ochrony danych i audytor wewnętrzny posiadają gwarancje niezależności kształtujące ich status. Każdy z nich działa też w celu zapewnienia zgodności działań jednostki sektora finansów publicznych z prawem. Dlatego w osiągnięciu celu potrzebna jest efektywna współpraca oraz wzajemne wspieranie się w tym zakresie wiedzą i doświadczeniem.

Audyt wewnętrzny

Wypracowane przez Ministerstwo Finansów i Prezesa Urzędu Ochrony Danych Osobowych zasady współpracy dotyczące audytu wewnętrznego w obszarze ochrony danych osobowych pozwalają nie tylko zachować niezależność dwóch stron, tj. audytora wewnętrznego i inspektora ochrony danych osobowych, ale również zapewnić, że audyt wewnętrzny realizuje swój cel, określony w art. 272 ust. 1 ustawy z 27.8.2009 r. o finansach publicznych (t.j. Dz.U. z 2019 r. poz. 869 ze zm.), jakim jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze.

Ministerstwo Finansów na swojej stronie internetowej[3] opublikowało formularz oceny spełnienia obowiązków wynikających z RODO oraz ustawy o ochronie danych osobowych. Został on podzielony na pięć bloków tematycznych:

1) organizacja systemu ochrony danych osobowych,

2) prawo do przetwarzania danych osobowych,

3) realizacja praw osoby, której dane dotyczą,

4) inspektor ochrony danych,

5) rejestrowanie czynności przetwarzania danych osobowych,

6) ocena skutków przetwarzania danych osobowych.

Należy podkreślić, że celem formularza nie jest ocena pracy inspektora ochrony danych osobowych. Formularz zawiera pytania związane z funkcją inspektora, takie jak: prawidłowość jego powołania, udostępnianie inspektorowi zasobów, jego dostępność w jednostce, zapewnienie warunków do realizacji zadań, ocena regulacji wewnętrznych w zakresie ochrony danych osobowych przez inspektora danych osobowych, a przede wszystkim zapewnienie inspektorowi niezależności. Wskazane pytania nie oceniają jednak sensu stricte pracy inspektora ochrony danych osobowych, a pozwalają m.in. zweryfikować, czy kierownictwo jednostki zapewniło mu odpowiednie warunki do pracy.

[1] Administrator, zgodnie z art. 4 pkt 7 RODO, oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

[2] Podmiot przetwarzający, w myśl art. 4 pkt 8 RODO, oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

[3] www.mf.gov.pl