Tak, szkoła jako jednostka sektora finansów publicznych zobowiązana jest do przeprowadzenia audytu zgodności z Krajowymi Ramami Interoperacyjności. Audyt ten może być przeprowadzony przez wykwalifikowanego pracownika (np. informatyka, administratora, inspektora ochrony danych) lub zewnętrzny podmiot. Raport z audytu, jako dokument urzędowy wytworzony przez szkołę, stanowi informację publiczną i podlega udostępnieniu na wniosek, o ile nie zachodzą przesłanki wyłączające jego jawność.
Szkoła publiczna (np. podstawowa, liceum, technikum) jest najczęściej jednostką organizacyjną sektora finansów publicznych, zazwyczaj działającą jako jednostka budżetowa. Na podstawie art. 2 ust. 1 pkt 2 ustawy z 17.2.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz.U. z 2024 r. poz. 1557) każda jednostka budżetowa – w tym szkoła jako jednostka organizacyjna jednostki samorządu terytorialnego – zobowiązana jest do okresowego przeprowadzania audytu bezpieczeństwa systemów teleinformatycznych, w których przetwarza się informacje publiczne. Celem audytu jest weryfikacja zgodności stosowanych środków technicznych i organizacyjnych z minimalnymi wymaganiami określonymi w załączniku do rozporządzenia. Wynika to bezpośrednio z § 19 ust. 2 pkt 14 rozporządzenia Rady Ministrów z 21.5.2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2024 r. poz. 773), minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Audyt może być wykonany zarówno przez pracownika jednostki, jak i przez podmiot zewnętrzny – przepisy nie nakładają obowiązku powierzenia tego zadania firmie zewnętrznej. Kluczowe jest, aby osoba przeprowadzająca audyt posiadała odpowiednie kwalifikacje oraz nie była zaangażowana w bieżące administrowanie audytowanym systemem – co wynika z zasady bezstronności. Zatem dopuszczalne jest powierzenie audytu informatykowi, administratorowi lub inspektorowi ochrony danych, pod warunkiem spełnienia wymogu niezależności.
Raport z audytu, jako dokument urzędowy wytworzony przez organ władzy publicznej w ramach realizacji zadań publicznych, mieści się w definicji informacji publicznej [art. 1 ust. 1 oraz art. 6 ust. 1 pkt 4 lit. a ustawy z 6.9.2001 r. o dostępie do informacji publicznej (t.j. Dz.U. z 2022 r. poz. 902; dalej: DostInfPubU)]. Może jednak zostać w całości lub częściowo wyłączony z udostępnienia, jeśli zawiera informacje niejawne, dane osobowe lub inne informacje prawnie chronione (art. 5 ust. 1 i 2 DostInfPubU). W takim przypadku organ obowiązany jest do odpowiedniego zanonimizowania danych lub do wydania decyzji administracyjnej o odmowie udostępnienia.
