Czy audytor wewnętrzny może być ABI

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 14 lipca 2017
Dokument archiwalny
Czy audytor wewnętrzny może być ABI
Pytanie:  Czy jednostka sektora publicznego może powołać audytora wewnętrznego na stanowisko administratora bezpieczeństwa informacji, a w dalszej perspektywie inspektora ochrony danych osobowych? Czy wykonywanie obowiązków ABI/inspektora może nastąpić w drodze powierzenia dodatkowych obowiązków?
Odpowiedź: 

Administrator danych ma dowolność w powołaniu ABI – sam decyduje czy, a jeśli tak, to kogo powołuje na to stanowisko. Może więc zdecydować, że funkcję ABI będzie pełnił audytor wewnętrzny. Jednak przed podjęciem takiej decyzji musi przede wszystkim zastanowić się, czy audytor spełnia wymagania, jakie ustawa o ochronie danych osobowych stawia przed ABI (a także, czy audytor będzie spełniał wymogi wobec inspektorów ochrony danych). Poza tym, co równie ważne, musi rozważyć, czy będzie w stanie zapewnić audytorowi pełniącemu funkcję ABI odrębność organizacyjną i niezależność, a także zagwarantować, że w wykonywaniu zadań ABI będzie podlegał wyłącznie administratorowi danych. Dodatkowo w kontekście ogólnego rozporządzenia o ochronie danych musi rozważyć, czy łączenie funkcji audytora wewnętrznego z funkcją ABI nie doprowadzi do konfliktu interesów.

Zgodnie z art. 36a ust. 1 ustawy o ochronie danych osobowych (uodo) administrator danych (ADO) może powołać administratora bezpieczeństwa informacji (ABI). ABI musi spełniać określone warunki:

  • mieć pełną zdolność do czynności prawnych i korzystać z pełni praw publicznych,
  • mieć odpowiednią wiedzę z zakresu ochrony danych osobowych,
  • nie być karany za umyślne przestępstwo.

Składając wniosek o rejestrację administratora bezpieczeństwa informacji u GIODO, administrator danych potwierdza, że ABI spełnia te warunki – odpowiada więc za to, jaką osobę wyznaczył na stanowisko ABI.

Inspektor ochrony danych będzie natomiast wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań inspektora – należy zastanowić się, czy powołany na funkcję ABI audytor wewnętrzny, gdy stanie się inspektorem ochrony danych, będzie spełniał te wymogi.

Uwaga

Administrator danych może powierzyć ABI wykonywanie innych obowiązków, ale należy pamiętać, że nie mogą one naruszyć prawidłowego wykonywania zadań związanych z ochroną danych osobowych. Również ogólne rozporządzenie dopuszcza wykonywanie innych obowiązków przez inspektora – ale nie mogą one powodować konfliktu interesów.

ABI/inspektor musi być niezależny

Trzeba pamiętać, że ABI w kwestii realizacji swoich obowiązków związanych z ochroną danych osobowych może podlegać bezpośrednio jedynie administratorowi danych (także inspektor ochrony danych będzie musiał podlegać bezpośrednio najwyższemu kierownictwu administratora danych). Przed powołaniem audytora wewnętrznego na ABI trzeba zastanowić się, czy taki warunek będzie mógł być spełniony – czy audytor pełniący jednocześnie funkcję ABI w zakresie pełnienia obowiązków związanych z ochroną danych będzie podlegał tylko i wyłącznie administratorowi danych.

Poza tym ABI musi mieć zapewnioną organizacyjną odrębność i zadania związane z ochroną danych osobowych wykonywać niezależnie – powołując audytora wewnętrznego na stanowisko ABI trzeba o tym pamiętać. Wymaga tego także ogólne rozporządzenie o ochronie danych – administrator danych będzie musiał zapewnić, że inspektor nie będzie otrzymywał instrukcji dotyczących wykonywania swoich zadań – nie może być też odwołany i karany za ich realizację.

Ważne:

Przed powołaniem audytora wewnętrznego na ABI/inspektora trzeba zastanowić się, czy łączenie tych funkcji nie doprowadzi do powstania konfliktu interesów. Może bowiem dojść do sytuacji, że ABI/inspektor-audytor będzie kontrolował sam siebie.

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x