Czy praca IOD może być kontrolowana?

Czy działania podejmowane przez IOD w związku z wykonywaniem przez niego jego zadań mogą podlegać kontroli przeprowadzanej przez administratora bezpośrednio lub za pośrednictwem podmiotów, którym zleca on taką kontrolę, np. wewnętrznych lub zewnętrznych audytorów? Czy w jednostkach sektora finansów publicznych audytor może inspektorowi wydać zalecenia na gruncie przepisów dotyczących audytu wewnętrznego?

Niezależność IOD, o której mowa w motywie 97 RODO oraz w art. 38 RODO, jest jedną z najważniejszych gwarancji skutecznego i prawidłowego wykonywania jego zadań, a tym samym realnego zapewnienia zgodności przetwarzania danych osobowych z przepisami prawa.

Jednocześnie to administrator ponosi pełną odpowiedzialność za zgodne z przepisami ochrony danych osobowych przetwarzanie danych. Inspektor ochrony danych podlega bezpośrednio administratorowi i w związku z tym sposób wykonywania funkcji przez IOD musi podlegać jego kontroli, przy czym może to być kontrola wewnętrzna lub zlecona przez administratora podmiotowi zewnętrznemu. W jednym i drugim przypadku taka kontrola (audyt) musi uwzględniać niezależne funkcjonowanie (gwarancje niezależności) IOD, tak wyraźnie podkreślane w RODO. Dotyczy to również wdrożonych w danej organizacji systemów wewnętrznej kontroli (systemy oceny zgodności). Systemy te nie mogą w jakikolwiek sposób ograniczać możliwości wykonywania przez IOD jego zadań, w tym dokonywania kompleksowej, bieżącej oceny zgodności przetwarzania danych osobowych z przepisami prawa.

Administratorzy będący jednostkami sektora finansów publicznych w celu zapewnienia zgodnego z prawem przetwarzania danych osobowych i właściwej organizacji bezpieczeństwa informacji korzystają z pomocy zarówno audytorów, jak i inspektorów ochrony danych. Audytor wewnętrzny dokonuje systematycznej oceny kontroli zarządczej, obejmując zasięgiem swojego działania wszystkie obszary jednostki, w tym działania podejmowane przez IOD. Sposób przeprowadzania audytu wewnętrznego został określony w przepisach prawa (m.in. w rozporządzeniu Ministra Finansów z dnia 4 września 2015 r. w sprawie audytu wewnętrznego oraz informacji o pracy i wynikach tego audytu), ale musi on uwzględniać przepisy RODO, w tym m.in. w art. 38 ust. 3 RODO.

Gdy audyt (kontrola) dotyczy pracy IOD, respektowanie niezależnego wykonywania jego zadań oznacza zakaz wydawania IOD przez osoby kontrolujące jakichkolwiek bezpośrednich poleceń/zaleceń odnośnie tych zadań. Ostateczne decyzje co do oceny wyników audytu dotyczącego prawidłowości wykonywania ciążących na IOD obowiązków podejmuje kierownik jednostki, a inspektor musi mieć możliwość przedstawienia swojego stanowiska. Racje obu stron powinny zostać uzasadnione i udokumentowane. Materiał ten może być przydatny w celach dowodowych w przypadkach oceny prawidłowości wykonywania funkcji IOD w kontekście jego odpowiedzialności na gruncie przepisów prawa pracy lub Kodeksu cywilnego (odpowiedzialności kontraktowej) albo odpowiedzialności karnoprawnej.