Z przeprowadzonego przez Ministerstwo Finansów badania pt. „Prowadzenie audytu wewnętrznego w jednostkach sektora finansów publicznych przez usługodawcę” wynika, że spośród 368 analizowanych urzędów (z czego lwia część – 331 – to samorządy) niemal co czwarty w umowach zawartych z usługodawcą nie uwzględniał wymogów związanych z ochroną danych osobowych pracowników.

W przypadku 52 urzędów (14 proc.) w umowach pominięto przepisy zapewniające ochronę dokumentów przed nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem.

A umowy zawarte przez 45 jednostek (12 proc.) nie zawierały klauzul gwarantujących usługodawcy dostęp do dokumentów z zachowaniem przepisów ustaw o tajemnicy chronionej.

W 101 jednostkach (27 proc.) dopatrzono się braku klauzul dotyczących przekazania zleceniodawcy po zakończeniu umowy dokumentów stworzonych dla celów audytu.

Jednak resort finansów broni urzędów. – Jednostki nabierają doświadczenia w zakresie współpracy z usługodawcami, w tym optymalnego konstruowania umów – odpowiada nam wydział prasowy MF. Wniosek?

Umowy podpisywane z usługodawcami to „obszar, na który kierownicy jednostek powinni zwrócić większą uwagę”.

Zdaniem resortu w badaniu chodziło o wskazanie dobrych praktyk, które w sposób pożądany przez MF określą sposób postępowania z dokumentami.

– Nie można wyprowadzać wniosku, że doszło do faktycznych zaniedbań czy nieprawidłowości w zakresie ochrony danych osobowych czy informacji niejawnych w jednostkach – zaznacza MF.

Urzędy, których umowy miały niedociągnięcia prawne, tłumaczą, że kwestie związane z ochroną dokumentów i danych osobowych określały ich regulacje wewnętrzne lub procedury audytu wewnętrznego. Takiego tłumaczenia nie rozumieją eksperci. Podobnie jak bagatelizowania sprawy przez MF.

– Audytor ma dostęp nie tylko do danych osobowych pracowników urzędu, ale do wszelkich dokumentów, informacji i danych związanych z funkcjonowaniem jednostki, a więc też np. do danych zawartych w aktach prowadzonych postępowań. 

Umowa o przeprowadzenie audytu jest więc umową powierzenia danych osobowych do przetwarzania, a to oznacza, że brak w umowie postanowień wymaganych przez ustawę o ochronie danych osobowych jest naruszeniem prawa.

W umowie trzeba wyraźnie wskazać, w jakim celu i zakresie audytor może wykorzystać dane, których dysponentem jest gmina – mówi dr Paweł Litwiński, ekspert ds. ochrony danych osobowych.