Czy można audytować podmiot podprzetwarzający?
Dostałam pytanie od znajomego z Facebooka: Czy administrator może skontrolować podmiot podprzetwarzający, czyli ten któremu podmiot przetwarzający podpowierzył nasze (administratora) dane osobowe?
Oczywiście odpowiedź brzmi TAK, bo skoro z artykułu 28 RODO wynika że możecie audytować podmiot przetwarzający i że on musi być w stanie wykazać wam, jako administratorom, że przetwarza powierzone mu dane zgodnie z umową i przepisami o ochronie danych osobowych, tym bardziej będzie to obejmowało wszelkie podmioty podprzetwarzające. Powstaje tylko pytanie jak powinien odbyć się taki audyt? Czy powinniśmy go realizować poprzez podmiot przetwarzający, czy może zrealizować go samodzielnie? Jak najbardziej, możemy także dokonać audytu podmiotu podprzetwarzającego samodzielnie, np. składając mu wizytę w jego siedzibie. Natomiast w praktyce pewnie najczęściej będzie to realizowane poprzez podmiot przetwarzający, który np. udzieli nam odpowiednich oświadczeń, wyjaśnień, dokumentów, dowodów w sprawie w imieniu swoim, ale także podmiotu podprzetwarzajacego, aby wykazać zgodność przetwarzania z zawartą umową oraz przepisami o ochronie danych osobowych.
Cykl krótkie pytanie, szybka odpowiedź jest dostępny w formie jedno minutowych filmików na mojej stronie na Facebooku.