Przeprowadzanie audytów i inspekcji

Są jednak sytuacje, gdy administrator danych, na podstawie przeprowadzonej u siebie analizy ryzyka, dojdzie do wniosku, że w celu obniżenia tego ryzyka, w związku z powierzeniem przetwarzania danych, samo uzyskanie informacji od podmiotu przetwarzającego o spełnieniu wymogów RODO może być niewystarczające.

W takim przypadku, posiłkując się wskazanymi wyżej przepisami RODO, administrator danych może wprowadzić do umowy powierzenia przetwarzania danych zapisy dotyczące przeprowadzania u procesora audytów lub inspekcji.

Wprowadzając do umowy powierzenia przetwarzania danych zapisy dotyczące przeprowadzania audytów i inspekcji, warto zadbać o to, aby zakres takiego audytu był szczegółowo ustalony na podstawie przeprowadzonej analizy ryzyka.

To na administratorze danych spoczywa odpowiedzialność za wybór odpowiedniego procesora, więc to administrator danych powinien zadbać o odpowiednie ustalenie zakresu audytu, jaki chciałby przeprowadzić u swojego kontrahenta.

Administrator danych sam szacuje ryzyko związane z powierzeniem przetwarzania danych osobowych i to on jest w stanie wskazać, na których aspektach, w kontekście zabezpieczeń tego procesu, najbardziej mu zależy.

Podwyższone ryzyko może wynikać np. z kategorii danych, jakie są powierzane (np. dane szczególnych kategorii) albo sposobu przekazywania danych (np. mailowo).
 

Wskazówka

Na podstawie ustale...

Dalsza część jest dostępna dla użytkowników z wykupionym planem