Na czym polega współpraca między audytorem wewnętrznym i Inspektorem Ochrony Danych?

Inspektor Ochrony Danych (dalej: IOD) oraz audytor wewnętrzny mają kompetencje i zadania, które w niektórych sytuacjach mogą się pokrywać. Jednym z głównych zadań IOD jest informowanie administratora danych, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów, a także monitorowanie zgodności przetwarzania danych osobowych z obowiązującymi przepisami prawa. Do zadań audytora wewnętrznego należy m.in. ocena zgodności działalności jednostki z przepisami prawa, przy czym zakres ten obejmuje również przepisy prawa o ochronie danych osobowych oraz wewnętrznymi procedurami, z uwzględnieniem efektywności działania jednostki, ochrony jej zasobów oraz zarządzania ryzykiem w organizacji.

Nietrudno zatem zauważyć, że w zakresie ochrony danych osobowych zadania IOD i audytora wewnętrznego są zbieżne, co rodzi wątpliwości, jak powinna wyglądać ich wzajemna współpraca. Problem ten dostrzegł zarówno Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO), jak i Ministerstwo Finansów. W tej sytuacji oba te podmioty zdecydowały się na wydanie wspólnego komunikatu z dnia 1 sierpnia 2018 r.: „Zasady współpracy audytora wewnętrznego i IOD określone przez Ministerstwo Finansów i Prezesa UODO”[1].

Niezależność IOD i audytora wewnętrznego

Przepisy prawa wyraźnie określają, że zarówno IOD, jak i audytor wewnętrzny są niezależni w wykonywaniu swoich zadań.

Zgodnie z art. 38 ust. 3 RODO administrator oraz podmiot przetwarzający zapewniają, by IOD nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. IOD nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. IOD bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Co więcej, administrator danych lub podmiot przetwarzający zapewniają, by zadania i obowiązki realizowane przez IOD nie powodowały konfliktu interesów.

W przypadku zaś audytora wewnętrznego to – zgodnie z art. 282 ust. 1 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych – kierownik jednostki zapewnia warunki niezbędne do niezależnego, obiektywnego i efektywnego prowadzenia aud...

Dalsza część jest dostępna dla użytkowników z wykupionym planem