Możliwości udostępniania danych osobowych będących w posiadaniu ośrodka pomocy społecznej w związku z przeprowadzaniem audytu wewnętrznego

Departament Pomocy Społecznej przedstawia stanowisko Generalnego Inspektora Ochrony Danych Osobowych na temat udostępniania danych osobowych będących w posiadaniu ośrodka pomocy społecznej w związku z przeprowadzaniem audytu wewnętrznego.

„... w myśl art. 27 ust. l ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. - Dz. U. z 2002 r. Nr 101. póz. 926, z późn. zm.), zwanej dalej ustawą, przetwarzanie określonej w tym przepisie kategorii danych - co do zasady - jest zabronione. W art. 27 ust. 2 ustawy określone zostały jednak wyjątki od tej generalnej reguły. Ustawodawca wyliczył sytuacje, po których spełnieniu jest możliwe przetwarzanie danych podlegających szczególnej ochronie. Na podstawie pkt 2 tego przepisu jest to dopuszczalne, jeśli przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony.

Uprawnienia audytora wewnętrznego wymienione są w ustawie z dnia 26 listopada 1998 r. o finansach publicznych (t. j. Dz. U. z 2003 r. Nr 15, póz. 148, ze zm.), a zasady prowadzenia audytu określone są w rozporządzeniu Ministra Finansów z dnia 5 lipca 2002 r. w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego (Dz. U. Nr 111, póz. 973). W myśl art. 35 h ust. 2 powołanej wyżej ustawy kierownik kontrolowanej komórki organizacyjnej zapewnia audytorowi wewnętrznemu warunki niezbędne do sprawnego przeprowadzania audytu wewnętrznego, przedstawia żądane dokumenty oraz ułatwia terminowe udzielanie wyjaśnień przez pracowników tej komórki. Ponadto, w myśl § 9 wymienionego rozporządzenia, audytor wewnętrzny ma prawo wglądu do dokumentów i innych materiałów związanych z funkcjonowaniem komórki, w której przeprowadzany jest audyt wewnętrzny, z zachowaniem przepisów o ochronie informacji niejawnych. W komunikacie nr 7/KF/2003 Ministra Finansów z dnia 2 kwietnia 2003 r. w sprawie ogłoszenia "Kodeksu etyki audytora wewnętrznego w jednostkach sektora finansów publicznych" i "Karty audytu - wewnętrznego w jednostkach sektora finansów publicznych" (Dz. Urz. MF Nr 5, póz. 32 (kom)) Minister Finansów wyjaśnił, że "audytor wewnętrzny ma zagwarantowane prawo dostępu do wszelkich dokumentów, z zachowaniem przepisów o ochronie informacji niejawnych, do wszystkich pracowników oraz wszelkich innych źródeł informacji potrzebnych do przeprowadzenia audytu wewnętrznego i związanych z funkcjonowaniem jednostki, w które jest prowadzony audyt wewnętrzny". Potrzeba dostępu do dokumentów, w tym danych osobowych w nich zawartych, wyznaczona jest zatem zakresem przedmiotowym prowadzonej przez audytora wewnętrznego kontroli. Również zakres pozyskiwanych w ramach kontroli danych musi być adekwatny do przedmiotu kontroli i służyć jedynie jej celom.

Konkludując należy wskazać na ogólną zasadę, że przetwarzanie danych na podstawie właściwych, szczególnych przepisów prawa, które wprost do tego uprawniają, przy zachowaniu zasady adekwatności, nie będzie kolidowało z ustawą o ochronie danych osobowych."