Ministerstwo Finansów opublikowało formularz oceny spełniania obowiązków wynikających z europejskiego rozporządzenia RODO oraz ustawy o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000). Ma on pomóc przy przeprowadzaniu audytów wewnętrznych zwłaszcza w jednostkach administracji publicznej.
Audytorzy wewnętrzni sami wskazywali na duże zainteresowanie tematyką związaną z RODO. W ankiecie dla Ministerstwa Finansów jedna trzecia audytorów dostrzegła potrzebę zgłębienia tej tematyki. Stąd pomysł przygotowania formularza.
„Formularz ten został opracowany przez międzyresortowy zespół roboczy audytorów wewnętrznych i kontrolerów z Kancelarii Prezesa Rady Ministrów, Ministerstwa Sprawiedliwości, Ministerstwa Rodziny, Pracy i Polityki Społecznej oraz Ministerstwa Finansów. Jest on podsumowaniem dotychczasowych doświadczeń w zakresie przygotowania jednostek administracji do realizacji zadań związanych z badaniem funkcjonowania systemu ochrony danych osobowych” – można przeczytać na stronie internetowej mf.gov.pl, na której udostępniono druk.
Formularz sugeruje 49 obszarów badania, łącznie wymieniając 111 wymogów, które pogrupowano w siedmiu rozdziałach skupiających się na kolejnych elementach zarządzania systemem ochrony danych osobowych. Przykładowo: punkt 7 w rozdziale III dotyczy realizacji prawa do sprostowania i usuwania danych. Weryfikując spełnianie związanych z tych wymóg, audytor sprawdzi cztery elementy: czy przewidziano procedury ułatwiające realizację wniosku o sprostowanie albo usunięcie danych osobowych, czy wskazano osoby odpowiedzialne za ocenę takich wniosków, czy przewidziano obowiązek powiadomienia każdego odbiorcy, któremu ujawniono dane osobowe o fakcie ich sprostowania lub usunięcia oraz czy procedury uwzględniają możliwość wykorzystania drogi elektronicznej oraz odpowiedź bez zbędnej zwłoki, a najpóźniej w ciągu miesiąca? Każdemu z nich będzie mógł przypisać jedną z pięciu ocen: pozytywną, zastrzeżenia, negatywną, w realizacji, nie dotyczy.
Eksperci zajmujący się tematyką ochrony danych osobowych zwrócili uwagę, że formularz jest bardzo szczegółowy, dlatego audytorzy nie powinni z niego korzystać w sposób automatyczny. W części instytucji tak drobiazgowa analiza nie będzie bowiem potrzebna. Przyznaje to zresztą również sam resort finansów, zwracając uwagę, że sugerowany obszar badań powinien być zróżnicowany i dostosowywany do rodzaju, charakteru i skali przetwarzania danych osobowych w konkretnej jednostce.
„Mając to na uwadze, zachęcamy do swobodnego uzupełniania i modyfikowania formularza zgodnie z własną metodyką działania, przyjętymi celami audytu lub kontroli oraz charakterystyką przetwarzania danych osobowych w badanej jednostce” – podkreślono w instrukcji korzystania z druku.