Obliczanie cyklu audytu w wielkoskalowych systemach informatycznych UE
Wielkoskalowe systemy informatyczne Unii Europejskiej – takie jak System Informacyjny Schengen (SIS), Wizowy System Informacyjny (VIS), System Wjazdu/Wyjazdu (EES) czy Europejski System Informacji o Podróży oraz Zezwoleń na Podróż (ETIAS) – stanowią kluczowe narzędzia wspierające zarządzanie granicami, politykę wizową i bezpieczeństwo w strefie Schengen. Ze względu na skalę przetwarzania danych osobowych oraz ich znaczenie dla ochrony praw podstawowych akty prawne regulujące funkcjonowanie tych systemów przewidują obowiązek regularnych audytów prowadzonych przez właściwe organy nadzorcze.
Przepisy unijne ustanawiają szczegółowe wymogi dotyczące częstotliwości przeprowadzania audytów. W przypadku SIS, VIS oraz w ramach interoperacyjności minimalna częstotliwość wynosi raz na cztery lata, natomiast dla systemów EES i ETIAS – co najmniej raz na trzy lata. Przestrzeganie tych cykli audytowych ma istotne znaczenie nie tylko z punktu widzenia zapewnienia ciągłości nadzoru, lecz także w kontekście unijnego mechanizmu Ewaluacji Schengen. W trakcie tych ewaluacji eksperci z Komisji Europejskiej i państw członkowskich oceniają, czy organy ochrony danych prawidłowo realizują swoje obowiązki w zakresie nadzoru nad przetwarzaniem danych w systemach wielkoskalowych.
W związku z powyższym Komitet Skoordynowanego Nadzoru (Coordinated Supervision Committee – CSC) opracował wspólne zalecenia dotyczące sposobu obliczania cyklu audytu oraz interpretacji przepisów unijnych w tym zakresie. Zgodnie z tymi wytycznymi pełne cztery lata kalendarzowe bez zakończonego audytu w SIS, VIS lub w ramach interoperacyjności (oraz trzy lata w odniesieniu do EES i ETIAS) należy uznać za niezgodne z obowiązującymi regulacjami. Wynika to bezpośrednio z brzmienia odpowiednich aktów prawnych UE, które określają maksymalne dopuszczalne odstępy między kolejnymi audytami.
Cykl audytu powinien być obliczany w latach, zgodnie z art. 3 ust. 2 lit. c) rozporządzenia Rady nr 1182/71, określającego zasady ustalania okresów, dat i terminów w aktach przyjętych przez instytucje Unii Europejskiej.
Kluczowe znaczenie ma także ustalenie momentu, od którego należy liczyć początek kolejnego cyklu. Za taki punkt odniesienia uznaje się datę zakończenia audytu, rozumianą jako moment, w którym zrealizowano wszystkie zaplanowane działania audytowe. Może to być ostatni dzień wizyty na miejscu, dzień podpisania sprawozdania z audytu lub inny moment wynikający z krajowych procedur i stosowanych międzynarodowych standardów.
Jednocześnie, biorąc pod uwagę niezależny status organów nadzorczych, zaleca się pozostawienie im pewnej swobody w określaniu, kiedy audyt uznaje się za zakończony – zwłaszcza w sytuacjach, gdy występują nieprzewidziane okoliczności, takie jak opóźnienia proceduralne, konieczność uzyskania dodatkowych informacji czy ograniczenia operacyjne. Elastyczność ta nie może jednak prowadzić do przekroczenia maksymalnych odstępów czasowych, określonych w aktach prawnych UE.
Organy nadzorcze pozostają właściwe do samodzielnego ustalania terminu rozpoczęcia kolejnego audytu, o ile mieści się on w granicach przewidzianych przepisami. Przepisy unijne określają bowiem minimalną częstotliwość kontroli, lecz nie nakładają obowiązku ich przeprowadzania według sztywnego harmonogramu. Ta autonomia ma zasadnicze znaczenie dla uwzględnienia krajowej specyfiki działania organów ochrony danych, w tym dostępnych zasobów, priorytetów w planowaniu nadzoru oraz wyników poprzednich audytów.
Ujednolicone podejście do sposobu obliczania cyklu audytu w systemach wielkoskalowych sprzyja spójności praktyk nadzorczych w całej Unii Europejskiej i wzmacnia zaufanie do skuteczności ochrony danych osobowych w ramach zintegrowanego zarządzania granicami.
