Czy przeprowadzanie audytów zewnętrznych powinno być wyodrębnione w rejestrze czynności przetwarzania?
ODPOWIEDŹ
Nie traktowałabym tego jako odrębny proces. Należy jednak wpisać audytora zewnętrznego w rejestrze czynności przetwarzania w rubryce poświęconej odbiorcom danych – jako procesora lub odrębnego administratora, we wszystkich tych procesach, gdzie z uwagi na jego zaangażowanie powinien być uwzględniony.
Zatem, jeśli audytor zewnętrzny ma dostęp do danych pracowników, to należy uwzględnić go w odbiorcach danych w procesie zatrudnienia, jeśli zaś ma dostęp do danych naszych klientów – uwzględnić go w odbiorcach danych w procesach klienckich. Uwaga: zaangażowany przez organizację biegły rewident to również odbiorca danych, ale wykonując swoje czynności w ramach i na podstawie ustawy co do zasady posiada status odrębnego administratora.