Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

PYTANIE SZCZEGÓŁOWE

W umowach powierzenia, które zawarliśmy z naszymi klientami, mamy zapis, zgodnie z RODO, że klient/administrator danych osobowych ma prawo skontrolować nasze przetwarzanie, w tym dostać naszą politykę ochrony danych osobowych i zapoznać się z nią. Czy taki zapis jest zgodny z prawem? Polityka jest naszym wewnętrznym dokumentem, zatem czy możemy wydzielić część polityki dotyczącą powierzonych danych i tylko tę część pokazywać klientowi?

ODPOWIEDŹ

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia. Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

-
Udostępnij na: -

Najnowsze

Najnowsze na blogu

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się

RODO Nawigator

RODO NAWIGATOR Interaktywny tekst RODO oraz polskiej ustawy wzbogacony o wykaz oficjalnych wytycznych i praktyczną mapę aspektów RODO.

Więcej