Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

 

STAN PRAWNY NA 16 MAJA 2024

Pojęcie audytu pojawia się przede wszystkim w Ustawie o finansach publicznych i chociaż audyt z zakresu ochrony danych osobowych, czyli ogólnie audyt zgodności z RODO, nie dotyczy bezpośrednio czynności wykonywanych w ramach gospodarowania środkami publicznymi, to jednak warto odnieść się do definicji audytu, jaka w tej Ustawie się znajduje.

Zgodnie z art. 272 audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze. W przypadku audytu z zakresu ochrony danych osobowych, czyli audytu zgodności z RODO, niezależność i obiektywność można osiągnąć, powierzając audyt podmiotowi zewnętrznemu, a taki walor ma np. inspektor ochrony danych (IOD), niezatrudniony w strukturze organizacyjnej placówki. Celem tego rodzaju audytu będzie wspieranie dyrektora w ocenie, czy przestrzegane są wymogi RODO w zakresie zasad przetwarzania danych.

Warto również wspomnieć, że audyt zgodności z RODO stanowi element kontroli zarządczej. Podobnie jak audyt finansowy ma na celu wykrycie niezgodności z procedurami oraz ewentualnych zagrożeń dla funkcjonowania jednostki, szczególnie takich, które mogłyby zakończyć się wyciekiem danych osobowych, błędami przetwarzania itd., czyli grozić nałożeniem na jednostkę kary finansowej w związku z niezgodnym z prawem postępowaniem z danymi osobowymi.

Z takiego stanu rzeczy wypływa dość oczywisty wniosek, że rolą audytu jest wzmocnienie kontroli zarządczej i umożliwienie kierownikowi jednostki, w tym przypadku dyrektorowi jednostki systemu oświaty, sprawne i efektywne zarządzanie nią w oparciu o powstałe w ten sposób spostrzeżenia płynące z ocen zawartych w wynikach audytu wewnętrznego.

Charakteryzując cel audytu, warto wspomnieć, iż ustawodawca wskazał miejsca, w których audyt ma rację bytu. Określił to w treści art. 274 Ustawy o finansach publicznych, wymieniając imiennie lub rodzajowo jednostki, w których audyt prowadzony jest obligatoryjnie z mocy ustawy. Przytoczyć tu można ust. 4 tej regulacji, zgodnie z którym audyt wewnętrzny prowadzi się również w jednostkach sektora finansów publicznych, których kierownicy podejmą decyzję o prowadzeniu audytu wewnętrznego.

Przepis ten dotyczy wyłącznie audytu finansowego, natomiast w praktyce wskazuje, że to dyrektor podejmuje decyzję o przeprowadzeniu audytu wewnętrznego. Taka sama zasada obowiązuje w odniesieniu do audytu zgodności z RODO, z tym że należy rozszerzyć zakres jednostek podlegających temu audytowi w stosunku do zakresu wymienionego w Ustawie, która co do zasady odnosi się do jednostek sektora finansów publicznych. Zaliczamy do nich również jednostki budżetowe, a więc formy organizacyjno-prawne, w których prowadzone są poradnie, ale wyłącznie te, dla których organem prowadzącym są jednostki samorządu terytorialnego. Tymczasem audyt zgodności z wymaganiami RODO nie może być przeprowadzany wyłącznie w nich, ponieważ również niesamorządowe publiczne i niepubliczne poradnie przetwarzają dane osobowe i mają obowiązek powołania inspektora ochrony danych.

Inspektor ochrony danych

Podmiotem przeprowadzającym audyt może być IOD. Zgodnie z założeniami RODO zawsze posiada on niezbędne kwalifikacje do przeprowadzenia tego typu czynności, takie są bowiem wymagania formalne stawiane przez inspektorem. Chodzi tu przede wszystkim o treść art. 38 ust. 2 RODO, stosownie do którego administrator oraz podmiot przetwarzający wspierają inspektora w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.