Právní poradna logo

Právo na audit u zpracovatele

Datum:03. 06. 2021 v 11:00
Poslední aktivita:03. 06. 2021 v 11:00
Zhlédnuto:2546x
0

Časté dotazy našich uživatelů:

Naší společnosti jako externímu zpracovateli mezd byl doručen návrh smlouvy na zpracování osobních údajů, ve kterém nám klient zapracoval povinnost umožnit mu kdykoli v průběhu roku provedení auditu ochrany osobních údajů. Má takováto povinnost oporu přímo v nařízení GDPR?

Pro přidání komentáře musíte být přihlášen
Předplacená odpověď
0

Podle čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen "Nařízení"), platí, že mezi správcem a zpracovatelem osobních údajů musí být uzavřena smlouva o zpracování osobních údajů, pokud tu není jiný právní akt, na jehož základě zpracování osobních údajů probíhá (například v případě státních / oblastních archivů).

Ze shora citovaného ustanovení Nařízení dále vyplývá i obsah samotné smlouvy o zpracování osobních údajů, podle které má tato smlouva rovněž pokrývat závazek zpracovatele poskytnout správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v čl. 28 Nařízení, tj. nejen, že zpracovatel plní povinnosti sjednané smlouvou, ale i další povinnosti stanovené Nařízením (de facto přiměřeně povinnosti vztahující se na správce).

Za účelem dalšího prokázání plnění příslušných povinností zpracovatele má smlouva o zpracování osobních údajů obsahovat rovněž závazek zpracovatele umožnit audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

Z předmětného ustanovení tedy sice vyplývá, že správce osobních údajů má právo na inspekce, resp. audity zpracování osobních údajů, ale toto oprávnění nelze bez dalšího vykládat tak široce - tedy, že by zpracovatel byl povinen umožnit takovouto inspekci v neomezeném množství, čímž by v extrémních případech mohl být i samotný provoz zpracovatele paralyzován (zejména tehdy, pokud zpracovatel poskytuje služby větším počtu správců jako například externí zpracovatel mezd).

Ve vašem konkrétním případě bych proto doporučoval sjednat si závazek tak, že bude počet inspekcí omezen, například tak, že správce je oprávněn provést jeden audit za rok za předpokladu, že tedy nebudou zjištěna žádná porušení povinností zpracovatele při zpracování osobních údajů.

Pro zobrazení odpovědi se přihlašte
Komentovat mohou pouze uživatelé s aktivním předplatným

Odpovědět na dotaz

Pro přidání odpovědi musíte být přihlášen/a.