Współpraca IOD i audytora wewnętrznego w sektorze finansów publicznych

Michał Kowalski

Autor: Michał Kowalski

Dodano: 2 sierpnia 2018
Audyt

Jak wskazuje UODO na swojej stronie internetowej, zadaniem zarówno inspektora ochrony danych, jak i audytora wewnętrznego jest wspieranie kierownika jednostki sektora finansów publicznych w zgodnej z prawem realizacji celów i zadań tej jednostki. Czyni to uzasadnionym ścisłą współpracę audytorów wewnętrznych i IOD w jednostkach sektora finansów publicznych. działania audytorów wewnętrznych i inspektorów ochrony danych powinny być komplementarne. Nie powinno to jednak godzić w niezależność obydwu podmiotów. Mając powyższe na uwadze Prezes UODO i Ministerstwo Finansów wypracowali zasady współpracy wskazanych podmiotów.

Niezależność IOD i audytora wewnętrznego

Jak wiemy, obowiązkiem każdej jednostki sektora finansów publicznych jest powołanie inspektora ochrony danych. IOD ma w szczególności bezpośrednio podlegać kierownikowi jednostki i korzystać z niezależności. Z kolei zgodnie z art. 282 ust. 1 ustawy o finansach publicznych kierownik jednostki sektora finansów publicznych musi zapewnić warunki niezbędne do niezależnego, obiektywnego i efektywnego prowadzenia audytu wewnętrznego, w tym organizacyjnej odrębności komórki audytu wewnętrznego oraz ciągłości prowadzenia audytu wewnętrznego w jednostce. Audytor wewnętrzny (kierownik komórki audytu wewnętrznego) ma więc, podobnie jak IOD bezpośrednio podlegać kierownikowi jednostki. Zgodnie ze standardami audytu wewnętrznego dla jednostek sektora finansów publicznych, określonymi w Komunikacie Ministra Rozwoju i Finansów z dnia 12 grudnia 2016 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych, audytor wewnętrzny nie powinien być narażony na jakiekolwiek próby ingerowania w zakres realizowanego audytu, wpływania na sposób wykonywania pracy i informowania o jej wynikach. Jednocześnie audytor powinien unikać konfliktu interesów.

Uwaga

Audytorzy i inspektorzy ochrony danych muszą w swojej pracy uwzględniać wzajemną niezależność i nie wpływać na jej ograniczanie.

Nie obejdzie się bez wspódziałania

Każda jednostka sektora finansów publicznych jako administrator danych musi czuwać na legalnym przetwarzaniem danych osobowych i właściwą organizacją bezpieczeństwa informacji. W osiągnięciu tego celu jednostka powinna korzystać zarówno z pomocy audytorów, jak i inspektorów ochrony danych.

Zarówno IOD, jak i audytor wewnętrzny wspierają kierownika jednostki sektora finansów publicznych w realizacji jej celów i zadań. Do zadań IOD należy m.in. monitorowanie zgodności przetwarzania danych osobowych z obowiązującymi przepisami prawa. Natomiast zadaniami audytora wewnętrznego są m.in. ocena zgodności działalności jednostki z przepisami prawa (a zatem również przepisami prawa o ochronie danych osobowych) oraz procedurami wewnętrznymi, a także skuteczności i efektywności działania, ochrony zasobów oraz zarządzania ryzykiem.

Dlatego działania audytorów wewnętrznych i inspektorów ochrony danych powinny być komplementarne.

Konieczna wymiana informacji

Prezes UODO i Ministerstwo zalecają wymianę informacji i dokumentów niezbędnych dla prawidłowej realizacji swoich  zadań przez IOD i audytora wewnętrznego. Zwracają też uwagę na przepisy rozporządzenia Ministra Finansów z 4 września 2015 r. w sprawie audytu wewnętrznego oraz informacji o pracy i wynikach tego audytu. Otóż w przypadku gdy audyt obejmuje zadania realizowane przez IOD, audytor wewnętrzny powinien odnosić się do badanego obszaru, nie formułując wniosków dotyczących bezpośrednich działań IOD. W tym zakresie ostateczne decyzje podejmuje kierownik jednostki. Jeżeli IOD nie zgadza się ze stanowiskiem kierownika jednostki sektora finansów publicznych, wówczaspowinien mieć możliwość przedstawienia swojego stanowiska, które powinno zostać uzasadnione i udokumentowane. Materiał ten może być przydatny w celach dowodowych w przypadkach oceny prawidłowości wykonywania funkcji IOD w kontekście jego odpowiedzialności na gruncie przepisów prawa pracy lub Kodeksu cywilnego (odpowiedzialności kontraktowej) przez właściwe organy.

Źródło:
  • Strona internetowa Urzędu Ochrony Danych Osobowych (uodo.gov.pl).
Michał Kowalski

Autor: Michał Kowalski

Radca prawny, specjalista z zakresu prawa pracy i ubezpieczeń społecznych oraz prawa oświatowego, redaktor licznych publikacji

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.
wiper-pixel