Z przepisu wynika, że przeprowadzenie audytu to zadanie administratora. Czy jego realizacja przez IOD nie stwarza konfliktu interesów?
ODPOWIEDŹ
Zgodnie z treścią art. 39 ust. 1 lit. b RODO, zadaniem inspektora ochrony danych jest monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Środkiem do realizacji tego obowiązku jest właśnie prowadzenie audytów.
- Czy IOD opracował (systematycznie opracowuje) plan swojej pracy, np. w zakresie szkoleń, audytów?
- Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
- Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
Inspektor ochrony danych powinien być bezstronny i niezależny od administratora, zatem może przeprowadzić audyt wewnętrzny, powinien jednak otrzymać znaczne wsparcie administratora, zarówno w zakresie zasobów potrzebnych do realizacji audytu, jak również organizacji samego audytu.
Problem może stanowić ta część audytu, w której inspektor ochrony danych przeprowadzający audyt powinien zweryfikować swoje własne kompetencje i działania, zgodnie z wymaganiami RODO. W tym zakresie najlepszym rozwiązaniem jest wyznaczenie innego audytora, np. innej osoby z organizacji lub podmiotu zewnętrznego.