Czy audytor musi być upoważniony do przetwarzania danych
W ostatnim czasie dość popularnym środkiem bezpieczeństwa przetwarzania danych stały się audyty. Czy osoba przeprowadzająca taki audyt powinna mieć udzielone upoważnienie do przetwarzania danych? Odpowiedź poniżej.
Upoważnienie dla audytora wewnętrznego
Każda zorganizowana działalność – publiczna, prywatna, prowadzona przez pracodawcę czy przedsiębiorcę w mniejszym lub większym stopniu jest kontrolowana. Kontrola lub audyt mogą być realizowane przez osoby z wewnątrz. Mowa wówczas o wewnętrznej kontroli zinstytucjonalizowanej, realizowanej przez właściwe osoby zatrudnione w wewnętrznych strukturach w komórkach audytu czy kontroli. Niezależnie od kompetencji w zakresie audytu osób „z wewnątrz” struktur podmiotu który jest poddawany czynnościom kontrolnym, istnieje duże prawdopodobieństwo, że dana jednostka organizacyjna będzie kontrolowana przez organy kontroli państwowej, działające na podstawie i w granicach prawa.
W przypadku audytorów wewnętrznych, działających w oparciu o wewnętrzne zasady kontroli upoważnienie do przetwarzania danych osobowych zawartych w dokumentach podlegającym audytowi jest zasadne – niezależnie od tego, że przepisy RODO nie odnoszą się w szczegółowym stopniu do kwestii formalnych takiego upoważnienia.
W przypadku przeprowadzania czynności audytowych przez osoby „z wewnątrz” należy przyjąć, że niezbędne będzie upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem.
W przypadku audytu zewnętrznego umocowanie nie jest konieczne
Odnosząc się natomiast do działalności kontrolnej instytucji zewnętrznych, można uznać, iż przetwarzanie przez nie danych osobowych zawartych w dokumentach związanych z kontrolą nie będzie wiązało się z koniecznością wydania upoważnienia do przetwarzania danych. Należy bowiem pamiętać, że instytucje kontrolne działają w oparciu o przepisy rangi ustawowej – jest ustawa o PIP, o Państwowej Inspekcji Sanitarnej czy o Dozorze Technicznym. Wszystkie tego typu instytucje działają w granicach określonych w przepisach prawa powszechnie obowiązującego. Przetwarzanie danych osobowych na potrzeby kontroli jest w ich przypadku niezbędnym i zwykłym elementem działalności kontrolno-nadzorczej, która wiąże się z realizacją ustawowych obowiązków prawnych. Tym samym można uznać, że w przypadku funkcjonariuszy kontroli zewnętrznych, mających oparcie w przepisach ustawowych, podstawą legalnego przetwarzania danych osobowych w ramach czynności kontrolnych nie będzie upoważnienie wydane przez administratora danych – jakim jest podmiot kontrolowany – a upoważnienie „bezpośrednie” wynikające z przepisów ustawowych normujących procedury kontrolne przeprowadzane przez daną instytucję zewnętrzną.
W przypadku gdyby uznać, iż przeprowadzenie kontroli przez instytucje zewnętrzne – takie jak przykładowo Państwowa Inspekcja Pracy, było uzależnione od wydania przez podmiot kontrolowany upoważnienia, wówczas w gestii podmiotu kontrolowanego byłoby ostateczne zadecydowanie czy kontrola w ogóle może zostać przeprowadzona – przynajmniej w zakresie w jakim konieczne jest przetwarzanie danych osobowych.
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Zgoda na przetwarzanie danych osobowych o zdrowiu musi być udokumentowana
- Księga główna przychodni zawiera dane osobowe o zdrowiu pacjentów
- Jak przeprowadzić analizę ryzyka dla danych osobowych w związku z wdrożeniem sztucznej inteligencji
- Samorządy muszą spodziewać się kontroli RODO
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
