Dokonywanie oceny zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych
Podmiot udostępniający: | Departament Orzecznictwa, Legislacji i Skarg Biura GIODO | |
Wytworzył informację: | DOLiS | 2016-05-12 |
Wprowadził‚ informację: | Aleksandra Lutomska | 2016-05-12 15:05:39 |
Ostatnio modyfikował: | Agnieszka Świątek | 2017-07-18 15:40:14 |
Obowiązkiem administratora danych jest czuwanie nad zgodnym z prawem przetwarzaniem danych osobowych i właściwą organizacją bezpieczeństwa informacji. Może on przy tym korzystać z pomocy audytorów oraz administratora bezpieczeństwa informacji (ABI).
Audyty mogą dotyczyć różnych kwestii. Ich przedmiotem może być m.in. organizacja bezpieczeństwa w danym podmiocie, którego jednym z elementów jest ochrona danych.
Jeżeli audyt odbywa się na podstawie ustawy o finansach publicznych, wówczas zgodnie z jej art. 282 ust. 2, audytor wewnętrzny ma prawo wstępu do pomieszczeń jednostki oraz wglądu do wszelkich dokumentów, informacji i danych oraz do innych materiałów związanych z funkcjonowaniem jednostki, w tym utrwalonych na elektronicznych nośnikach danych, jak również do sporządzania ich kopii, odpisów, wyciągów, zestawień lub wydruków.
Audytor nie może jednak rozliczać ani ostatecznie, wiążąco, oceniać działań administratora danych. W orzecznictwie wskazuje się na „roboczy, przygotowawczy i niestanowczy (nieostateczny) charakter dokumentów wytwarzanych w związku z audytem” oraz że „nawet sprawozdanie z wykonania zadania audytowego nie ma charakteru stanowczego (rozstrzygającego, ostatecznego)” (wyrok WSA w Poznaniu z 20 czerwca 2013 r., sygn.. akt II SA/Po 509/13). Dodatkowo, audytowany może zgłosić pisemne zastrzeżenia do wstępnych wyników audytu wewnętrznego (§ 17 ust. 3 rozporządzenia Ministra Finansów w sprawie audytu wewnętrznego oraz informacji o pracy i wynikach tego audytu) oraz odmówić realizacji zaleceń zawartych w sprawozdaniu z zadania zapewniającego (§ 19 ust. 3 rozporządzenia). Ostateczna decyzja dotycząca realizacji zaleceń należy do kierownika jednostki (§ 19 ust. 4 rozporządzenia).
Z kolei zgodnie z art. 36a ust. 2 pkt 1 lit. a ustawy o ochronie danych osobowych oraz art. 36c pkt 3 tej ustawy, sprawdzanie zgodności przetwarzania danych osobowych z przepisami powinno być wykonywane osobiście przez ABI. Możliwe jest natomiast korzystanie przez niego w niezbędnym zakresie z pomocy osób posiadających wiedzę specjalistyczną (np. informatyków, prawników).
Jednocześnie audytor nie może wkraczać w sferę autonomii ABI-ego ani ograniczać go w wykonywaniu jego ustawowych zadań (co nie oznacza, że nie może żądać dokumentacji i informacji). Oba te podmioty działają w interesie administratora danych, realizując de facto ten sam cel, jakim jest zapewnienie zgodności przetwarzania danych osobowych z obowiązującymi przepisami. Administrator danych jest bowiem podmiotem, który ponosi odpowiedzialność za pełną i całościową zgodność przetwarzania danych z przepisami prawa.
Generalny Inspektor Ochrony Danych osobowych (GIODO) zastrzega sobie jednak prawo do kontroli i rozstrzygania w sposób merytoryczny i wiążący – zgodnie z przepisami ustawy o ochronie danych osobowych – czy przyjęte przez administratora danych rozwiązania są prawidłowe w świetle obowiązujących przepisów. W przypadku kontroli przeprowadzanej przez GIODO, jeżeli na podstawie jej wyników inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje do GIODO o przywrócenie stanu zgodnego z prawem w drodze decyzji administracyjnej (art. 17 ust. 1 w zw. z art. 18 ustawy o ochronie danych osobowych). Od decyzji wydanej przez GIODO przysługuje – według wyboru strony – albo wniosek o ponowne rozpatrzenie sprawy, albo skarga do wojewódzkiego sądu administracyjnego (w przypadku postępowań wszczętych po 1 czerwca 2017 r.).