W ostatnim czasie dość popularnym środkiem bezpieczeństwa przetwarzania danych stały się audyty. Czy osoba przeprowadzająca taki audyt powinna mieć udzielone upoważnienie do przetwarzania danych? Odpowiedź poniżej.
Każda zorganizowana działalność – publiczna, prywatna, prowadzona przez pracodawcę czy przedsiębiorcę w mniejszym lub większym stopniu jest kontrolowana. Kontrola lub audyt mogą być realizowane przez osoby z wewnątrz. Mowa wówczas o wewnętrznej kontroli zinstytucjonalizowanej, realizowanej przez właściwe osoby zatrudnione w wewnętrznych strukturach w komórkach audytu czy kontroli. Niezależnie od kompetencji w zakresie audytu osób „z wewnątrz” struktur podmiotu który jest poddawany czynnościom kontrolnym, istnieje duże prawdopodobieństwo, że dana jednostka organizacyjna będzie kontrolowana przez organy kontroli państwowej, działające na podstawie i w granicach prawa.
W przypadku audytorów wewnętrznych, działających w oparciu o wewnętrzne zasady kontroli upoważnienie do przetwarzania danych osobowych zawartych w dokumentach podlegającym audytowi jest zasadne – niezależnie od tego, że przepisy RODO nie odnoszą się w szczegółowym stopniu do kwestii formalnych takiego upoważnienia.
W przypadku przeprowadzania czynności audytowych przez osoby „z wewnątrz” należy przyjąć, że niezbędne będzie upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem.
Odnosząc się natomiast do działalności kontrolnej instytucji zewnętrznych, można uznać, iż przetwarzanie przez nie danych osobowych zawartych w dokumentach związanych z kontrolą nie będzie wiązało się z koniecznością wydania upoważnienia do przetwarzania danych. Należy bowiem pamiętać, że instytucje kontrolne działają w oparciu o przepisy rangi ustawowej – jest ustawa o PIP, o Państwowej Inspekcji Sanitarnej czy o Dozorze Technicznym. Wszystkie tego typu instytucje działają w granicach określonych w przepisach prawa powszechnie obowiązującego. Przetwarzanie danych osobowych na potrzeby kontroli jest w ich przypadku niezbędnym i zwykłym elementem działalności kontrolno-nadzorczej, która wiąże się z realizacją ustawowych obowiązków prawnych. Tym samym można uznać, że w przypadku funkcjonariuszy kontroli zewnętrznych, mających oparcie w przepisach ustawowych, podstawą legalnego przetwarzania danych osobowych w ramach czynności kontrolnych nie będzie upoważnienie wydane przez administratora danych – jakim jest podmiot kontrolowany – a upoważnienie „bezpośrednie” wynikające z przepisów ustawowych normujących procedury kontrolne przeprowadzane przez daną instytucję zewnętrzną.
W przypadku gdyby uznać, iż przeprowadzenie kontroli przez instytucje zewnętrzne – takie jak przykładowo Państwowa Inspekcja Pracy, było uzależnione od wydania przez podmiot kontrolowany upoważnienia, wówczas w gestii podmiotu kontrolowanego byłoby ostateczne zadecydowanie czy kontrola w ogóle może zostać przeprowadzona – przynajmniej w zakresie w jakim konieczne jest przetwarzanie danych osobowych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
