Case studyPytania i odpowiedziRODO

Powierzenie przetwarzania danych a audyt wewnętrzny

Czy w przypadku audytu prowadzonego przez audytora wewnętrznego, który jest delegowany do przeprowadzenia kontroli przez organ nadzorujący, też powinniśmy mieć umowę powierzenia przetwarzania na okoliczność przeprowadzania kontroli? Audytor ma dostęp do wszelkiej dokumentacji znajdującej się w naszej jednostce, a protokół z kontroli dostępny jest również dla organu, który zleca taki audyt. Czy z organem również powinna być zawarta taka umowa, skoro ma dostęp do wszystkich danych w ramach swoich uprawnień? W tym przypadku nie ma oczywiście żadnej umowy, ale jest prawo przeprowadzenia audytu w ramach swoich uprawnień ustawowych. A może w takich przypadkach nie jest potrzebna umowa powierzenia przetwarzania danych, gdyż przekazywanie tych danych wynika z obowiązujących przepisów prawa?

Audytor wewnętrzny, zgodnie z ustawą o finansach publicznych ma prawo wglądu we wszelkie dokumenty, które mają związek z finansami publicznymi.

Zgodnie z podstawą prawną (Art. 282 ust. 2 i 3) u. f. p, audytor ma prawo żądać dostępu do wszelkich pomieszczeń, dokumentów i informacji oraz do innych materiałów związanych z funkcjonowaniem jednostki. Pracownicy mają obowiązek udzielać wszelkich informacji jak powyżej.

W przypadku danych osobowych pracowników administratora danych, dostęp do nich powinien wynikać z zakresu audytu i być do niego adekwatny. Udostępnienie wszelkich danych pracowników może naruszać ich prawa osobiste np. w wyniku udostępnienia danych o stanie zdrowia. Nie można raczej odmówić udostępnienia danych np. o zarobkach pracowników, ponieważ audytor najczęściej kieruje się zapisami ustaw: o finansach publicznych i o pracownikach samorządowych, oraz zapisami rozporządzenia w sprawie wynagradzania pracowników samorządowych.

Dostęp do danych osobowych innych osób, powinien (w mojej ocenie) mieć przez audytora silną podstawę prawną powiązaną z obszarem audytu, t. j. finansami publicznymi. Tak, jak wspomnieliśmy wcześniej, audytor sprawdza działanie jednostki i w naszej ocenie dostęp do danych osobowych innych osób może wykraczać poza ten zakres. Nie wiemy jednak o żadnej takiej sytuacji, dlatego rozpatrujemy ten przypadek wyłącznie teoretycznie, w podejściu akademickim.

Umowa powierzenia przetwarzania danych nie ma tu zastosowania, gdyż zarówno zadania audytora jak i obowiązki administratora danych (jako jednostki budżetowej nadzorowanej przez organ) zostały uregulowane ustawą o finansach publicznych.