Audyt zewnętrzny w samorządowych jednostkach organizacyjnych

Niejednokrotnie gmina zleca przeprowadzenie audytu jednostek organizacyjnych. Audyt taki przeprowadza często firma zewnętrzna. Wobec tego konieczne jest uregulowanie zasad przekazywania danych osobowych w związku z audytem. Sprawdź, czy możliwe jest zawarcie jednej umowy powierzenia przetwarzania danych w imieniu wszystkich jednostek organizacyjnych.

Upoważnienie do przetwarzania danych – także z mocy ustawy

Administrator danych osobowych powinien zawrzeć umowę powierzenia przetwarzania danych w tych sytuacjach, w których zleca wykonanie usługi bądź zadania podmiotowi zewnętrznemu, jeśli z realizacją tej usługi lub zadania łączyć się będzie przetwarzanie danych. W przypadku powierzenia danych dochodzi do przetwarzania danych przez inny podmiot tj. podmiot przetwarzający. Podmiot ten przetwarza dane w imieniu i na rzecz administratora danych. Oznacza to, że nie realizuje własnych celów przetwarzania danych, a cele określone przez administratora danych. Natomiast upoważnienie do przetwarzania danych jest nadawane przez administratora danych konkretnej osobie fizycznej. Z upoważnienia wynika uprawnienie do przetwarzania danych osobowych w określonym zakresie i czasie. Najczęściej upoważnienia wydawane są pracownikom administratora danych, którzy mają dostęp do danych osobowych i w ramach wykonywania obowiązków służbowych przetwarzają dane osobowe (nie ma znaczenia, czy pracownicy ci zatrudnieni są na podstawie umowy o pracę czy umowy cywilnoprawnej). Upoważnienia mogą być wydawane także osobom fizycznym stale lub okresowo współpracującymi z administratorem, jeśli osoby te przetwarzają dane zgodnie z procedurami i politykami administratora danych i pod ścisłą jego kontrolą.

Upoważnienie do przetwarzania danych może także wynikać wprost z przepisów prawa np. w przypadku kontrolerów wykonujących swoje obowiązki na podstawie ustawy o kontroli w administracji rządowej czy audytorów wewnętrznych na podstawie przepisów ustawy o finansach publicznych.

Gmina reprezentuje jednostki organizacyjne

Z audytorami zewnętrznymi konieczne jest jednak zawarcie umowy powierzenia danych. Umowę tę powinni zawrzeć poszczególni administratorzy danych. Dopuszczalne jest zawarcie umowy przez gminę działającą w imieniu poszczególnych jednostek- administratorów danych.

Przeczytaj też:

• Upoważnienie do przetwarzania danych w przypadku kontroli z RIO
• Ochrona danych osobowych w administracji publicznej

Podstawa prawna

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) - art. 28, art. 29.

Agnieszka Kręcisz-Sarna
radca prawny, ekspert portalu PoradyODO.pl