Czy jednostka nadzorująca jest uprawniona do przeprowadzenie w jednostce podległej audytu z zakresu bezpieczeństwa informacji oraz przeprowadzenia kontroli wdrożonych w tej jednostce polityk i procedur w związku z wejściem w życie RODO?

Czy jednostka nadzorująca (np. urząd gminy) jest uprawniona do uwzględnienia w swoim planie zadań nadzorczych oraz polecenia audytorowi wewnętrznemu przeprowadzenie w jednostce podległej audytu z zakresu bezpieczeństwa informacji oraz przeprowadzenie kontroli wdrożonych w tej jednostce polityk i procedur w związku z wejściem w życie przepisów RODO? Założyć należy, że skoro jednostka nadzorująca zleca audytorowi wewnętrznemu kontrolę pod kątem stopnia zaawansowania i zakresu wdrożenia polityki ochrony danych osobowych, to jednocześnie przypisuje sobie prawo do wydawania wytycznych i zaleceń w tym zakresie. Budzi to pewne wątpliwości, gdyż analiza przepisów wyraźnie wskazuje, że każdy Administrator danych jest pod kątem prowadzonej polityki ochrony danych w pełni niezależny i trudno przyjąć za właściwe, aby był kontrolowany przez organ nadzorujący pod kątem przestrzegania wytycznych z zakresu ochrony danych. Jednostka nadzorująca kieruje audytora wewnętrznego do przeprowadzenia kontroli jednostki podległej pod kątem przestrzegania wytycznych RODO na podstawie art. 287 ust. 1 ustawy o finansach publicznych, a więc na podstawie upoważnienia do przeprowadzenia audytu.