Czy audytor musi być upoważniony do przetwarzania danych

Sebastian Kryczka

Autor: Sebastian Kryczka

Dodano: 13 grudnia 2018
audyt

W ostatnim czasie dość popularnym środkiem bezpieczeństwa przetwarzania danych stały się audyty. Czy osoba przeprowadzająca taki audyt powinna mieć udzielone upoważnienie do przetwarzania danych? Odpowiedź poniżej.

Upoważnienie dla audytora wewnętrznego

Każda zorganizowana działalność – publiczna, prywatna, prowadzona przez pracodawcę czy przedsiębiorcę w mniejszym lub większym stopniu jest kontrolowana. Kontrola lub audyt mogą być realizowane przez osoby z wewnątrz. Mowa wówczas o wewnętrznej kontroli zinstytucjonalizowanej, realizowanej przez właściwe osoby zatrudnione w wewnętrznych strukturach w komórkach audytu czy kontroli. Niezależnie od kompetencji w zakresie audytu osób „z wewnątrz” struktur podmiotu który jest poddawany czynnościom kontrolnym, istnieje duże prawdopodobieństwo, że dana jednostka organizacyjna będzie kontrolowana przez organy kontroli państwowej, działające na podstawie i w granicach prawa.

W przypadku audytorów wewnętrznych, działających w oparciu o wewnętrzne zasady kontroli upoważnienie do przetwarzania danych osobowych zawartych w dokumentach podlegającym audytowi jest zasadne – niezależnie od tego, że przepisy RODO nie odnoszą się w szczegółowym stopniu do kwestii formalnych takiego upoważnienia.

Uwaga

W przypadku przeprowadzania czynności audytowych przez osoby „z wewnątrz” należy przyjąć, że niezbędne będzie upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem.

W przypadku audytu zewnętrznego umocowanie nie jest konieczne

Odnosząc się natomiast do działalności kontrolnej instytucji zewnętrznych, można uznać, iż przetwarzanie przez nie danych osobowych zawartych w dokumentach związanych z kontrolą nie będzie wiązało się z koniecznością wydania upoważnienia do przetwarzania danych. Należy bowiem pamiętać, że instytucje kontrolne działają w oparciu o przepisy rangi ustawowej – jest ustawa o PIP, o Państwowej Inspekcji Sanitarnej czy o Dozorze Technicznym. Wszystkie tego typu instytucje działają w granicach określonych w przepisach prawa powszechnie obowiązującego. Przetwarzanie danych osobowych na potrzeby kontroli jest w ich przypadku niezbędnym i zwykłym elementem działalności kontrolno-nadzorczej, która wiąże się z realizacją ustawowych obowiązków prawnych. Tym samym można uznać, że w przypadku funkcjonariuszy kontroli zewnętrznych, mających oparcie w przepisach ustawowych, podstawą legalnego przetwarzania danych osobowych w ramach czynności kontrolnych nie będzie upoważnienie wydane przez administratora danych – jakim jest podmiot kontrolowany – a upoważnienie „bezpośrednie” wynikające z przepisów ustawowych normujących procedury kontrolne przeprowadzane przez daną instytucję zewnętrzną.

Uwaga

W przypadku gdyby uznać, iż przeprowadzenie kontroli przez instytucje zewnętrzne – takie jak przykładowo Państwowa Inspekcja Pracy, było uzależnione od wydania przez podmiot kontrolowany upoważnienia, wówczas w gestii podmiotu kontrolowanego byłoby ostateczne zadecydowanie czy kontrola w ogóle może zostać przeprowadzona – przynajmniej w zakresie w jakim konieczne jest przetwarzanie danych osobowych.

Sebastian Kryczka

Autor: Sebastian Kryczka

Prawnik, absolwent Wydziału Prawa Administracji i Ekonomii (Zakład Prawa Pracy) Uniwersytetu Wrocławskiego. Od 2002 r. zawodowo zajmuje się problematyką prawa pracy, jak również w zagadnieniami związanymi z działalnością kontrolno-nadzorczą sprawowaną przez Państwową Inspekcję Pracy. Ekspert współpracujący z największymi i najbardziej opiniotwórczymi podmiotami w kraju, zajmującymi się problematyką prawa pracy. Ma na swoim koncie współpracę m.in. z Ministerstwem Pracy i Polityki Społecznej, Dolnośląską Komisją Ochrony Pracy oraz czołowymi firmami wydawniczymi. Jest m.in. współautorem komentarza do Kodeksu pracy, autorem komentarza do ustawy o PIP, jak również komentarzy do kilkunastu rozporządzeń wykonawczych do Kodeksu pracy.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel