Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?
ODPOWIEDŹ
Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia. Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.