Tylko GIODO może badać zgodność dokumentacji odo z przepisami

Sprawa, w której wypowiedział się Generalny Inspektor dotyczy urzędu miasta, który w ramach audytu wewnętrznego badał zgodność przetwarzania danych osobowych z przepisami. Urząd powoływał się na przepisy ustawy o finansach publicznych i rozporządzenie Ministra Finansów w sprawie audytu wewnętrznego oraz informacji o pracy i wynikach tego audytu.

Zgodnie z nimi, w ramach przeprowadzanej kontroli sprawdzeniu podlegają m.in. następujące kwestie: nadawanie upoważnień i prowadzenie ewidencji upoważnień do przetwarzania danych osobowych, procedury informatyczne związane z logowaniem się do systemu, treść dokumentacji związanej z przetwarzaniem danych osobowych, tj. polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym.

Jednak jak wynika z przepisów o ochronie danych osobowych kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych należy do zadań Generalnego Inspektora Ochrony Danych Osobowych. Jest on więc jedynym podmiotem, który może oceniać tę zgodność, gdyż to jemu powszechnie obowiązujące przepisy przyznają w tym zakresie stosowne kompetencje.

Jednocześnie GIODO przypomina, że wybór metod i środków w zakresie stosowanych zabezpieczeń danych osobowych należy do administratora danych. W związku z tym organ ds. ochrony danych nie wypowiada się na temat rozwiązań organizacyjnych, jakie ma przyjmować administrator danych osobowych, ani wydawanie opinii co do udostępniania nośników informacji. Każde żądanie ujawnienia danych (ale też innych informacji związanych z ich bezpieczeństwem) musi poprzedzać analiza legalności takiego żądania i adekwatności. Powinien ją przeprowadzić administrator danych i administrator bezpieczeństwa informacji – jeżeli został powołany.

Źródło: GIODO