W trakcie kontroli sprawdza się między innymi nadawanie upoważnień, prowadzenie ewidencji upoważnień do przetwarzania danych osobowych, procedury informatyczne związane z logowaniem się do systemu, treść dokumentacji związanej z przetwarzaniem danych osobowych, tj. polityki bezpieczeństwa, jak również instrukcji zarządzania systemem informatycznym.

Urząd miasta, który w ramach audytu wewnętrznego przeprowadzał kontrolę z zakresu przetwarzania danych osobowych jako podstawę swoich poczynań wskazywał art. 283 ust. 1 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2013 r. poz. 885, z późn. zm.) oraz rozporządzenie Ministra Finansów z dnia 4 września w sprawie audytu wewnętrznego oraz informacji o pracy i wynikach tego audytu (Dz. U. z 2015 r. poz. 1480).

Jak wynika jednak z art. 12 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r., poz. 2135, z późn. zm.) jedynym podmiotem właściwym do oceny zgodności dokumentacji przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych jest GIODO, który posiada stosowne kompetencje w tym zakresie.

Co warto jednak zaznaczyć wybór metod lub środków związanych ze stosowaniem zabezpieczeń danych osobowych należy do właściwości administratora danych. W związku z tym do kompetencji organu do spraw ochrony danych osobowych nie zalicza się wypowiadanie w kwestii rozwiązań organizacyjnych, jakie administrator danych osobowych powinien przyjąć czy też wydawanie opinii dotyczącej udostępniania nośników informacji. Wszystkie żądania przedstawiania danych oraz innych informacji dotyczących ich bezpieczeństwa muszą poprzedzać analizy legalności owego żądania i analiza adekwatności (należąca do administratora danych i administratora bezpieczeństwa informacji – w przypadku gdy został powołany).

Należałoby również zaznaczyć, że sądy administracyjne w wyrokach dotyczących dokumentacji przetwarzania danych nie wyeliminowały możliwości nadania jej statusu informacji publicznej. Nie oznacza to jednak, iż konieczne jest jej udostępnianie w całości, gdyż prawo do informacji publicznej podlega ograniczeniu między innymi ze względu na ochronę informacji niejawnych oraz innych tajemnic ustawowo chronionych czy też prywatność osoby fizycznej bądź tajemnicę przedsiębiorcy.

(giodo.gov.pl)