Warto wiedzieć kto jest kim…
Jednostki publiczne nie mają łatwego życia. Nie dość, iż są wystawione na światło dzienne to jeszcze podlegają pod szereg przepisów prawa, które muszą wypełniać. Dzisiaj poświęcimy ten artykuł dwóm przepisom prawa. Jeden odnosi się do Audytorów Wewnętrznych (AW), drugi do Inspektora Ochrony Danych (IOD). W jednym i drugim przypadku osoby piastujące te stanowiska prowadzą audyty. Część z nich prawdopodobnie w poszczególnych obszarach się pokrywa. Co zrobić, aby nie popełniać błędów? Na pewno trzeba wiedzieć skąd się biorą te osoby. Audytor Wewnętrzny powoływany jest w jednostkach publicznych w związku z art. 282 ust. 1 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych. Ustawa ta wskazuje, iż kierownik jednostki jest odpowiedzialny za zapewnienie warunków niezbędnych do niezależnego, obiektywnego i efektywnego prowadzenia audytu wewnętrznego. Jak to zapewnić, najłatwiej poprzez utworzenie stanowiska Audytora Wewnętrznego odpowiedzialnego za ciągłość prowadzonych audytów. Osoba na tym stanowisku musi mieć zapewnioną organizacyjną odrębność. Podobną sytuację mamy w przypadku Inspektora Ochrony Danych. Na kierowniku jednostki spoczywa również zapewnienie Inspektorowi Ochrony Danych warunków niezależnego i skutecznego wykonywania jego zadań. Obowiązek wyznaczenia Inspektora Ochrony Danych w jednostkach publicznych wynika z art. 37 Ogólnego Rozporządzenia o Ochronie Danych (RODO).
Ważne jest, by odpowiednio ułożyć ich wzajemne relacje…
Inspektor Ochrony Danych i Audytor Wewnętrzny to w sektorze finansów publicznych istotne stanowiska. Oba stanowiska muszą być, bo wynikają z przepisów prawa. To dwie ważne osoby wspierające kierownictwo jednostek w zgodnej z prawem realizacji jej celów i zadań. Jednakże, oba stanowiska muszą być niezależne w wykonywaniu swoich obowiązków, a te niekiedy bywają zbieżne. W dobrze działającej jednostce publicznej w niczym to nie przeszkadza. jeżeli „maszyna jest naoliwiona” to relacje pomiędzy tymi stanowiskami nie powinny sobie szkodzić tylko pomagać. Wiemy przecież, iż głównymi zadaniami Inspektora Ochrony Danych jest m.in. monitorowanie zgodności przetwarzania danych osobowych z obowiązującymi przepisami prawa. Audytor Wewnętrzny ocenia natomiast zgodność działalności jednostki z przepisami prawa. Tymi przepisami prawa, będą zatem również przepisy o ochronie danych osobowych. Obaj mają wpływ na adekwatne podejście do tematu zarządzania ryzykiem. Krótko mówiąc ich działania powinny być komplementarne, czyli wzajemnie się uzupełniać.
Dobra kooperacja jest niezbędna…
Audytor Wewnętrzny i Inspektor Ochrony Danych to osoby, którym ufamy, iż działają na rzecz prawidłowego wsparcia naszej jednostki. Skoro tak jest, to powinni oni wymieniać informacje i dokumenty niezbędne dla prawidłowej realizacji swoich zadań. Tego typu kooperacja pomaga obu stronom w łatwiejszym i zgodniejszym wykonywaniu swoich codziennych obowiązków. Nie zmienia to jednak faktu, iż zarówno w przypadku Audytora Wewnętrznego, jak i Inspektora Ochrony Danych kluczową rolę odgrywa niezależność w realizowaniu zadań. Dlatego też obie osoby powinny ze sobą współpracować uwzględniając jednak wzajemną niezależność. Szanując się nawzajem i nie próbując wpływać na ograniczanie niezależności kooperacja powinna ułożyć się składnie. Dobra kooperacja podnosi bezpieczeństwo każdej jednostki.
Kontrolowanie obu obszarów działalności…
Zarówno Inspektorzy Ochrony Danych, jak i Audytorzy podlegają bezpośrednio kierownikowi jednostki. Ich praca może podlegać jego kontroli, w tym tej zleconej podmiotom wewnętrznym lub zewnętrznym. Niezależność IOD,o której mowa w motywie 97 RODO oraz w art. 38 RODO, jest jedną z najważniejszych gwarancji skutecznego i prawidłowego wykonywania jego zadań, a tym samym realnego zapewnienia zgodności przetwarzania danych osobowych z przepisami prawa. Pamiętajmy jednak, iż to na administratorze danych spoczywa odpowiedzialność za zgodne z przepisami ochrony danych osobowych przetwarzanie danych. Skoro tak, to ma on prawo przeprowadzać kontrole uwzględniając jednak niezależne funkcjonowanie (gwarancje niezależności) IOD, tak wyraźnie podkreślane w RODO. Kontrolowanie wypełniania obowiązków przez AW opiera się na weryfikacji wywiązywania się z powierzonych mu obowiązków. Z reguły celem kontroli jest reakcja na symptomy występowania niepożądanych zjawisk.
Ocena schematy wykonywania funkcji Inspektora Ochrony Danych przez AW…
Skoro można (a czasami należy) kontrolować Inspektora Ochrony Danych to można zlecić to również Audytorowi Wewnętrznemu. Sposób przeprowadzania audytu wewnętrznego został określony w przepisach rozporządzenia Ministra Finansów z dnia 4 września 2015 r. w sprawie audytu wewnętrznego oraz informacji o pracy i wynikach tego audytu. Tak więc zasady są jasno określone i można się z nimi zapoznać. W sytuacji decyzji o kontroli IOD-a przez AW (choć my zalecamy wybór podmiotu zewnętrznego, aby nie powodować wewnętrznych konfliktów pomiędzy tymi osobami) Audytor Wewnętrzny powinien odnosić się do badanego obszaru, nie formułując wniosków dotyczących bezpośrednich działań IOD. Pamiętajmy, iż niezależnie od wyniku audytu decyzję ostateczną podejmuje kierownik jednostki. Wybór podmiotu zewnętrznego pozwoli na uniknięcie podejrzeń w zakresie animozji jakie mogą być pomiędzy tymi osobami.
Zapobiegnie naruszeniom RODO – ważna rzecz…
Podsumowując, Inspektor Ochrony Danych jak i Audytor Wewnętrzny posiadają gwarancje niezależności kształtujące ich status. Celem obu tych osób jest zapewnienie zgodności. Chcąc ją zapewnić na pewno znacznie łatwiej będzie to osiągnąć dzięki efektywnej współpracy pomiędzy nimi. Wspieranie się w zakresie osiągania zgodności na pewno da pozytywny wynik. Obu zależy również na tym, aby nie dopuszczać do naruszeń na gruncie RODO. Nie dopuszczać, bo w wyniku naruszeń może dojść do nałożenia kar. I tu właśnie pojawiamy się my Inspektorzy ODO. My, znamy się na RODO i wiemy co robić, aby zapobiec potencjalnym naruszeniom w Twojej jednostce publicznej. Możemy też pomóc Ci w przeprowadzeniu kontroli Twojego Inspektora Ochrony Danych. Zachęcamy do zapoznania się z naszymi usługami i kontaktu.