Marek Popiel ochroniarz danych
Temat: firmy świadczące usługi audytu/certyfikacji - procesorzy...
Jak podchodzicie do firm świadczących usługi audytu i certyfikacji na zgodność z różnymi normami (9001 itd. itp.)?Znam przypadki kiedy audytor zaglądał w dokumenty zawierające dane osobowe (np. umowy z kontrahentami lub zakresy obowiązków wybranych pracowników).
Czy dokumenty te powinny być anonimizowane przed ich udostępnieniem?
W niektórych przypadkach trudno mi sobie wyobrazić skuteczność takiego działania - np. jeżeli audytor zagląda w zakres obowiązków osób, których dane z różnych względów są upublicznione to łatwo mu jest powiązać informacje dotyczące osoby na określonym stanowisku z konkretną osobą.
Jeżeli uznać, że audytor ma prawo wglądu w dane osobowe to czy firmę która go zatrudnia uznać za procesora czy za administratora?
Wg mojej oceny jest procesorem, ponieważ cele i sposoby przetwarzania (posługując się definicją RODO) ustala moim zdaniem jednak zleceniodawca (czyli podmiot, który wynajmuje firmę świadczącą usługi audytu/certyfikacji).
Z drugiej strony, jak dotąd nie widziałem umowy z tego typu firmą, która zawierałaby klauzule powierzenia...