Z przepisu wynika, że przeprowadzenie audytu to zadanie administratora. Czy jego realizacja przez IOD nie stwarza konfliktu interesów?

ODPOWIEDŹ

Zgodnie z treścią art. 39 ust. 1 lit. b RODO, zadaniem inspektora ochrony danych jest monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Środkiem do realizacji tego obowiązku jest właśnie prowadzenie audytów.

• Czy IOD opracował (systematycznie opracowuje) plan swojej pracy, np. w zakresie szkoleń, audytów?
• Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
• Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?

Inspektor ochrony danych powinien być bezstronny i niezależny od administratora, zatem może przeprowadzić audyt wewnętrzny, powinien jednak otrzymać znaczne wsparcie administratora, zarówno w zakresie zasobów potrzebnych do realizacji audytu, jak również organizacji samego audytu.

Problem może stanowić ta część audytu, w której inspektor ochrony danych przeprowadzający audyt powinien zweryfikować swoje własne kompetencje i działania, zgodnie z wymaganiami RODO. W tym zakresie najlepszym rozwiązaniem jest wyznaczenie innego audytora, np. innej osoby z organizacji lub podmiotu zewnętrznego.