Czy przeprowadzanie audytów zewnętrznych powinno być wyodrębnione w rejestrze czynności przetwarzania?
Nie traktowałabym tego jako odrębny proces. Należy jednak wpisać audytora zewnętrznego w rejestrze ADO do odbiorców danych – jako procesora lub odrębnego administratora, w tych procesach, gdzie powinien być uwzględniony.
Zatem, jeśli audytor zewnętrzny ma dostęp do danych pracowników, to wpisujemy go w odbiorcach w procesie zatrudnienia, jeśli ma dostęp do danych klientów – to wpisujemy go w odbiorcach w procesach klienckich. Uwaga: biegły rewident to też odbiorca, ale posiadający status odrębnego administratora: https://uodo.gov.pl/pl/225/1248.