Czy firma, z którą chcemy współpracować, musi wyrazić zgodę na audyty i/lub cykliczne wypełnianie ankiety bezpieczeństwa?
ODPOWIEDŹ
Uprawnienie administratora do audytów / żądania wypełnienia ankiety bezpieczeństwa nie zależy od zgody procesora. Udostępnianie wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO (w tym m.in. w zakresie stosowanych środków zabezpieczania danych) oraz umożliwianie administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynianie się do nich – są obowiązkami procesora wynikającymi z RODO (art. 28 ust. 3 lit. h RODO). Postanowienia w tym zakresie powinny być zawarte w umowie powierzenia, jako obowiązkowy jej element.