24.01.2019

Stanovisko MF k souběhu funkcí pověřence a interního auditora

Ministerstvo financí, odbor Centrální harmonizační jednotka, vydalo stanovisko k souběžnému výkonu funkce zvláštního pověřence pro ochranu osobních údajů a funkce interního auditora. Úřad pro ochranu osobních údajů ponechává výklad této problematiky na Ministerstvu financí, jelikož oblast finanční kontroly

Ministerstvo financí, odbor Centrální harmonizační jednotka, vydalo stanovisko k souběžnému výkonu funkce zvláštního pověřence pro ochranu osobních údajů a funkce interního auditora. Úřad pro ochranu osobních údajů ponechává výklad této problematiky na Ministerstvu financí, jelikož oblast finanční kontroly a interního auditu spadá do jeho gesce.

Ministerstvo financí ve stanovisku říká, že interní auditor, který vykonává interní audit podle zákona o finanční kontrole, nemůže být jmenován pověřencem pro ochranu osobních údajů podle obecného nařízení o ochraně osobních údajů. Pověřenec pro ochranu osobních údajů nemůže být organizačně začleněn do útvaru interního auditu nebo podřízen vedoucímu útvaru interního auditu nebo internímu auditorovi. 

V rámci svých pracovních úkolů by měl mít interní auditor přístup ke všem informacím, záznamům, dokladům, systémům, operacím, zaměstnancům a k veškerému majetku orgánu veřejné správy a dále je mu také umožněno nahlížet do informačních systémů, smluv, faktur a další dokumentace orgánu veřejné správy, které obsahují osobní údaje. Interní auditor tudíž shromažďuje, zaznamenává, ukládá, používá, zpřístupňuje a šíří osobní údaje. Oproti tomu základním úkolem pověřence je poskytování poradenství, ověřování souladu s právními předpisy upravujícími ochranu osobních údajů, posuzování vlivu připravovaných opatření na ochranu osobních údajů a spolupráce s dozorovým úřadem. V případě sloučení funkce interního auditora a pověřence pro ochranu osobních údajů se pověřenec dostává do střetu zájmu, protože jako interní auditor plní úkoly, u kterých v široké míře zpracovává osobní údaje a jeho činnost by měla být podřízená nezávislému a objektivní posouzení pověřence pro ochranu osobních údajů. Ve sloučené pozici může mít pověřenec zájem jako interní auditor na určitém způsobu zpracování osobních údajů. Jeho poradenská činnost a doporučení v tomto případě nebude naplňovat požadavek obecného nařízení plnit své povinnosti a úkoly nezávislým způsobem.

Ve stanovisku se dále uvádí, že v praxi může nastat situace, kdy činnost pověřence pro ochranu osobních údajů bude prověřována interním auditorem a dle názoru interního auditora nebude pověřenec postupovat v souladu s právními předpisy nebo vnitřními směrnicemi orgánu veřejné správy. V tomto případě interní auditor předloží vedoucímu orgánu veřejné správy doporučení k přijetí opatření k nápravě zjištěných nedostatků. Bude-li funkce pověřence a interního auditora sloučena, ověření interního auditora nebude objektivní a nezávislé, tak jak to stanoví § 28 odst. 2 zákona o finanční kontrole. Zároveň bude porušeno ustanovení § 29 odst. 4 zákona o finanční kontrole, které zakazuje pověřovat interního auditora úkoly, které jsou v rozporu s nezávislým plněním jemu stanovených úkolů.  Právní úprava zaručuje internímu auditorovi a pověřenci pro ochranu osobních údajů nezávislé postavení a vylučuje střet zájmů. Tato nezávislost je zaručená pro tyto funkce samostatně. V případě jejich sloučení nebude požadavek na zajištění nezávislosti naplněn ani u jedné z nich.

Neslučitelnost těchto dvou funkcí se vztahuje pouze na obce, které mají dle zákona o finanční kontrole povinnost zřídit útvar interního auditu, což jsou obce, které mají více než 15 000 obyvatel a v ČR jich bylo k 1. lednu 2018 celkem 89. Zákon o finanční kontrole také nestanovuje žádné sankce za porušení ustanovení upravující interní audit, sankce ale stanovuje obecné nařízení GDPR za porušení povinnosti, aby pověřenec nevykonával úkoly, které by mohli vést ke střetu zájmů, píše se v závěru stanoviska.

Celé znění stanoviska Ministerstva financí naleznete v příloze.