Powołanie zespołu audytowego – na co zwrócić uwagę?

Audyt RODO może przeprowadzić zarówno zespół wewnętrzny, jaki, i zewnętrzny . Problematyczna dla administratorów danych może być jednak kwes­tia tego, w jaki sposób powołać taki zespół, aby przeprowadzenie audytu było jak najbardziej efektywne.

Oczywiście przepisy RODO także w tej kwestii nie dają jednoznacznej odpowiedzi, jakimi kryteriami należy się kierować przy wyborze osób, które będą przeprowadzały taki audyt. Jest jednak kilka aspektów, na które administrator danych powinien zwrócić uwagę, wybierając osoby do zespołu audytowego.

Niezależność audytorów

W pierwszej kolejności należy zauważyć, że bez względu na to, czy audyt będzie przeprowadzał podmiot zewnętrzny czy też pracownicy administratora danych, zawsze osoby audytorów powinny mieć zagwarantowaną niezależność. Tylko bowiem w takim przypadku przeprowadzenie audytu będzie efektywne, a osoby audytorów nie będą obawiać się konsekwencji służbowych, związanych z wytknięciem administratorowi danych zauważonych uchybień.

W przypadku wyboru zewnętrznego zespołu audytowego problem niezależności jest mniejszy z uwagi na to, że jednym z głównych powodów jego wyboru przez administratora danych jest możliwość przeprowadzenia audytu przez całkowicie niezależny podmiot.

Zagwarantowanie audytorom niezależności będzie dużo istotniejsze w sytuacji, gdy audyt będzie wykonywany przez pracowników administratora danych. W tym przypadku warto odwołać się do przepisów RODO gwarantujących Inspektorowi Ochrony Danych (dalej: IOD) niezależny status. Wydaje się, że w przypadku innych osób zajmujących się problematyką ochrony danych osobowych w organizacji administratora danych wskazane w przepisach RODO rozwiązania dotyczące statusu IOD można w takiej sytuacji stosować niejako analogicznie.

Zgodnie z zasadami określonymi w art. 38 RODO administrator oraz podmiot przetwarzający zapewniają, by IOD nie otrzymywał instrukcji dotyczących wykonywania przez siebie zadań. Nie może on być odwoływany ani karany przez administratora, ani podmiot przetwarzający za wypełnianie swoich zadań. Bezpośrednio IOD podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Dodatkowo administrator lub podmiot przetwarzający zapewniają, by zadania i obowiązki realizowane przez IOD nie powodowały konfliktu interesów.
 

Ważne!

Powołując zespół audytowy, złożony z własnych pracowników, administrator danych powinien szczególnie zadbać o zapewnienie niezależności wyznaczonym audytorom.

W tym zakresie administrator danych może oprzeć się na gwarancjach niezależności, w analogiczny sposób, w jaki przepisy RODO gwarantują ją IOD. W tej sytuacji pracownicy powołani do zespołu audytowego powinni nie otrzymywać instrukcji dotyczących wykonywanego audytu, nie mogą być karani ani zwalniani w związku z przeprowadzonym audytem, a realizacja audytu nie powinna powodować konfliktu interesów z innymi wykonywanymi przez nich obowiązkami. Oczywiście powinni podlegać bezpośrednio najwyższemu kierownictwu administratora danych.


Doświadczenie i kompetencje audytorów

Drugim istotnym zagadnien...

Dalsza część jest dostępna dla użytkowników z wykupionym planem