W dniu 18 kwietnia 2019 r. w Ministerstwie Finansów odbyło się spotkanie audytorów wewnętrznych jednostek sektora finansów publicznych dotyczące tematyki ochrony danych osobowych.

Spotkanie otworzyła Pani Joanna Stachura – Dyrektor Departamentu Polityki Wydatkowej w Ministerstwie Finansów, która przywitała uczestników spotkania i przedstawiła prelegentów.

W pierwszej części spotkania Pan Maciej Kawecki – Dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji oraz Pani Joanna Noga-Bogomilska – radca prawny w Ministerstwie Cyfryzacji, omówili kwestie, na które audytorzy wewnętrzni powinni zwrócić uwagę w trakcie audytowania obszaru ochrony danych osobowych. Prelegenci podzielili się z uczestnikami ciekawymi i praktycznymi spostrzeżeniami, które będą mogły zostać wykorzystane w trakcie realizacji zadań audytowych.

Następnie Pani Monika Młotkiewicz – Dyrektor Zespołu Współpracy z Administratorami Danych w Urzędzie Ochrony Danych Osobowych przedstawiła temat współpracy inspektora ochrony danych i audytu wewnętrznego z perspektywy Urzędu Ochrony Danych Osobowych. Pani Dyrektor wskazała na podobieństwa w przepisach regulujących pozycje i uprawnienia inspektora ochrony danych i audytora wewnętrznego w jednostce. Przypomniała również wspólne stanowisko Ministerstwa Finansów i Prezesa Urzędu Ochrony Danych Osobowych dotyczące zasad współpracy audytora wewnętrznego i inspektora ochrony danych.

Departament Polityki Wydatkowej Ministerstwa Finansów pragnie przypomnieć, że zgodnie z ww. zasadami

(…) zarówno inspektor danych osobowych (IOD), jak i audytor wewnętrzny wspierają kierownika jednostki sektora finansów publicznych w realizacji celów i zadań tej jednostki. Jednostki sektora finansów publicznych będące administratorami danych ponoszą bowiem odpowiedzialność za pełną i całościową zgodność przetwarzania danych osobowych z przepisami prawa.

Do zadań IOD należy monitorowanie zgodności przetwarzania danych osobowych z obowiązującymi przepisami prawa. Natomiast do zadań audytora wewnętrznego należy m.in. ocena zgodności działalności jednostki z przepisami prawa (a zatem również przepisami prawa o ochronie danych osobowych) oraz procedurami wewnętrznymi, a także skuteczności i efektywności działania, ochrony zasobów oraz zarządzania ryzykiem.

W związku z powyższym, działania audytorów wewnętrznych i IOD powinny być komplementarne. (…)Zarówno w przypadku audytora wewnętrznego jak i inspektora ochrony danych kluczową rolę odgrywa niezależność w realizowaniu zadań. Stąd audytorzy i inspektorzy muszą w swojej pracy uwzględniać wzajemną niezależność i nie wpływać na jej ograniczanie. (…) IOD i audytor wewnętrzny posiadają gwarancje niezależności kształtujące ich status. Każdy z nich działa też w celu zapewnienia zgodności działań jednostki sektora finansów publicznych z prawem. Dlatego w osiągnięciu tego celu potrzebna jest ich efektywna współpraca oraz wzajemne wspieranie się w tym zakresie wiedzą i doświadczeniem.

Pełną treść stanowiska Ministerstwa Finansów i Prezesa Urzędu Ochrony Danych Osobowych dotyczącego zasad współpracy audytora wewnętrznego i inspektora ochrony danych  zamieszczamy poniżej:

Tematem kolejnej części spotkania były prace międzyresortowego zespołu służb audytu i kontroli nad formularzem oceny ochrony danych osobowych. Prace te omówili: Pani Małgorzata Sokołowska – Zastępca Dyrektora Centrum Oceny Administracji w Kancelarii Prezesa Rady Ministrów, Pani Dorota Rosińska - Dyrektor Departamentu Kontroli w Ministerstwie Przedsiębiorczości i Technologii oraz Pan Andrzej Brągiel - Audytor wewnętrzny w Ministerstwie Rodziny, Pracy i Polityki Społecznej. Efekt prac zespołu – formularz oceny spełniania obowiązków wynikających z RODO oraz ustawy o ochronie danych osobowych – został zamieszczony na stronie internetowej Ministerstwa Finansów: https://www.gov.pl/web/finanse/do-pobrania-audyt-wewnetrzny.

W ostatniej części spotkania przedstawiciele Koła Jednostek Sektora Finansów Publicznych IIA Polska przedstawili praktyczne zagadnienia przeprowadzania audytów bezpieczeństwa informacji, z uwzględnieniem kwestii ochrony danych osobowych. W temat wprowadziła Pani Elżbieta Paliga – Kierownik Biura Audytu Wewnętrznego w Urzędzie Miasta Dąbrowa Górnicza, Koordynator Koła. Następnie pracownicy Biura Audytu Wewnętrznego Miasta Stołecznego Warszawy – Pani Dorota Rytel-Wyrzykowska - Naczelnik Wydziału Audytu Bezpieczeństwa Systemów Teleinformatycznych oraz Pan Mariusz Urban - Kierownik Zespołu Badań i Analiz Systemów Teleinformatycznych przedstawili swoje doświadczenia w zakresie takich audytów. Prelegenci zaprezentowali między innymi narzędzia wykorzystywane w audytach bezpieczeństwa informacji oraz zakres informacji podlegającej badaniu. W celu podzielenia się doświadczeniami w zakresie realizacji audytu bezpieczeństwa informacji w Urzędzie Miasta Stołecznego Warszawy, Pan Mariusz Urban udostępnił swój adres e-mailowy: mariusz.urban@um.warszawa.pl 

Audytorzy wewnętrzni aktywnie uczestniczyli w spotkaniu, zadając pytania i dyskutując z prelegentami.

Więcej informacji znajduje się w materiałach zamieszczonych w poniższych prezentacjach: