Audyt zasad przetwarzania danych osobowych (przykładowy regulamin jego przeprowadzania) w …………………………………………………… (nazwa jednostki) § 1 Regulamin określa sposób przeprowadzania audytu wewnętrznego. § 2 1. Audyt wewnętrzny przeprowadzany jest na podstawie rocznego planu audytu wewnętrznego. 2. W uzasadnionych przypadkach audyt wewnętrzny może być przeprowadzony poza planem audytu wewnętrznego. § 3 1. Przez: 1) RODO – należy rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L. z 2016 r. Nr 119 poz. 1); 2) Audyt – należy rozumieć systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów z audytu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów audytu; 3) Audytor – osoba, która przeprowadza audyt; 4) Bezpieczeństwo danych osobowych – zachowanie poufności, integralności i dostępności danych osobowych (art. 32 ust. 1 RODO); 5) Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 11 RODO). 2. Cele szczegółowe audytu obejmują ustalenie, czy: 1) dane są przetwarzane w sposób zgodny z prawem – powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w RODO, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w RODO, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; 2) przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego – jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego. RODO nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Prawo Unii lub prawo państwa członkowskiego powinno określać także cel przetwarzania; 3) dane są adekwatne – stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe. Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu; 4) wykonywany jest obowiązek informacyjny i opracowano klauzule informacyjne; 5) uzyskano wymagane zgody na przetwarzanie danych – jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu. Oświadczenie o wyrażeniu zgody przygotowane przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji; 6) zgoda na przetwarzanie danych była dobrowolna – aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna. § 4 1. Audytor wewnętrzny w celu dokumentowania przebiegu i wyniku audytu prowadzi bieżące akta audytu wewnętrznego. 2. Dyrektor jednostki, w której jest przeprowadzany audyt wewnętrzny ma prawo wglądu do bieżących akt audytu wewnętrznego. § 5 Do przeprowadzenia audytu wewnętrznego uprawnia imienne upoważnienie wystawione przez dyrektora. § 6 1. Przed przystąpieniem do audytu audytor wewnętrzny przeprowadza naradę otwierającą z udziałem dyrektora, lub z udziałem wyznaczonego przez niego pracownika. 2. Podczas narady otwierającej audytor wewnętrzny przedstawia cel, tematykę i założenia organizacyjne audytu wewnętrznego. 3. Dyrektor jednostki, w której jest przeprowadzany audyt wewnętrzny, przedstawia informacje dotyczące jej funkcjonowania oraz uzgadnia z audytorem wewnętrznym sposoby unikania zakłóceń w jej pracy w trakcie przeprowadzania audytu wewnętrznego. § 7 W trakcie przeprowadzania audytu, audytor może stosować techniki, które obejmują w szczególności: 1) zapoznawanie się z dokumentami służbowymi; 2) uzyskiwanie wyjaśnień i informacji od pracowników; 3) obserwację wykonywania zadań przez pracowników jednostki, w której przeprowadzany jest audyt wewnętrzny; 4) przeprowadzanie oględzin; 5) rekonstrukcję wydarzeń lub obliczeń pozwalającą ocenić dokładność i prawidłowość zastosowanych działań oraz wiarygodność wyników; 6) sprawdzenie rzetelności informacji przez porównanie jej z informacją pochodzącą z innego źródła; 7) porównanie określonych zbiorów danych w celu wykrycia operacji nieprawidłowych lub wymagających wyjaśnienia; 8) graficzną analizę procesów; 9) rozpoznawcze badanie próbek polegające na pobieraniu próbek losowych oraz stosowaniu testów. § 8 Audytor wewnętrzny może odbywać narady z pracownikami jednostki, w której jest przeprowadzany audyt wewnętrzny. § 9 1. Audytor wewnętrzny ma prawo żądać od dyrektora i pracowników jednostki, w której jest przeprowadzany audyt wewnętrzny, informacji i wyjaśnień w celu zapewnienia właściwego i efektywnego przeprowadzenia audytu wewnętrznego. 2. Audytor wewnętrzny ma prawo wglądu do dokumentów i innych materiałów związanych z funkcjonowaniem komórki, w której jest przeprowadzany audyt wewnętrzny. 3. Audytor wewnętrzny może sporządzać z dokumentów, o których mowa w ust. 2, niezbędne odpisy, kopie lub wyciągi, jak również zestawienia i obliczenia, w tym zawartych na elektronicznych nośnikach informacji w celu włączenia ich do bieżących akt audytu wewnętrznego. 4. Zestawienia i obliczenia na podstawie dokumentów, w tym zawartych na elektronicznych nośnikach informacji, zatwierdza dyrektor jednostki. 5. Jeżeli zachodzi potrzeba włączenia do bieżących akt audytu wewnętrznego, określonego dokumentu lub jego części, dyrektor jednostki, w której jest przeprowadzany audyt wewnętrzny, na wniosek audytora wewnętrznego potwierdza odpis lub kopię dokumentu. § 10 1. Pracownicy jednostki, w której jest przeprowadzany audyt wewnętrzny, są zobowiązani, na żądanie audytora wewnętrznego, udzielać informacji i ustnych wyjaśnień. Udzielone informacje i złożone ustne wyjaśnienia powinny być utrwalone na piśmie oraz podpisane przez osobę, która je złożyła, i przez audytora wewnętrznego albo przez samego audytora wewnętrznego. 2. Pracownicy jednostki, w której jest przeprowadzany audyt, mają prawo z własnej inicjatywy złożyć oświadczenie dotyczące przedmiotu audytu. Audytor wewnętrzny nie może odmówić włączenia tych oświadczeń do bieżących akt audytu wewnętrznego. § 11 Jeżeli w trakcie audytu audytor wewnętrzny stwierdzi, iż ujawnione nieprawidłowości wymagają podjęcia natychmiastowych działań ze strony kierownictwa jednostki, niezwłocznie informuje o tym dyrektora. § 12 1. Po zakończeniu audytu w celu przedstawienia wstępnych ustaleń i wniosków audytu wewnętrznego audytor wewnętrzny zwołuje naradę zamykającą z udziałem dyrektora jednostki, w której jest przeprowadzany audyt wewnętrzny, oraz wskazanych przez niego pracowników. 2. Z przeprowadzonej narady audytor wewnętrzny sporządza protokół, który zawiera w szczególności informacje o celu, przebiegu i wyniku narad. 3. Protokół podpisują prowadzący naradę audytor wewnętrzny oraz dyrektor jednostki, w której przeprowadzany jest audyt wewnętrzny, albo osoba przez niego wskazana. § 13 Audytor wewnętrzny sporządza notatkę służbową z innych czynności podjętych w trakcie audytu, a także zdarzeń, które mają istotne znaczenie dla ustaleń audytu wewnętrznego. § 14 Wyniki audytu audytor przedstawia w sprawozdaniu z przeprowadzenia audytu wewnętrznego. § 15 Sprawozdanie audytor wewnętrzny przekazuje dyrektorowi, po odbyciu narady zamykającej. § 16 1. Dyrektor jednostki, na podstawie sprawozdania z przeprowadzenia audytu wewnętrznego, podejmuje działania mające na celu usunięcie uchybień oraz usprawnienia funkcjonowania jednostki, informując o tym audytora wewnętrznego. 2. Jeżeli w terminie 2 miesięcy od dnia otrzymania sprawozdania z przeprowadzenia audytu wewnętrznego nie zostaną podjęte działania mające na celu usunięcie uchybień, dyrektor informuje o tym audytora wewnętrznego, uzasadniając brak podjęcia działań. § 17 1. Audytor wewnętrzny może przeprowadzić czynności sprawdzające, dokonując oceny dostosowania działań jednostki do zgłoszonych przez niego uwag i wniosków. 2. Ustalenia poczynione w trakcie czynności sprawdzających audytor wewnętrzny zamieszcza w notatce informacyjnej. 3. Notatkę informacyjną, audytor wewnętrzny przekazuje dyrektorowi, w której był przeprowadzony audyt wewnętrzny.