Przetwarzający nie może wymagać opłat za przeprowadzenie u siebie kontroli przez administratora danych osobowych. Zdaniem ekspertów to niezgodne z RODO.
Rozporządzenie unijne wymogło na wielu przedsiębiorcach, by starannie wybierali firmy, którym powierzają do przetwarzania dane osobowe. Aby przekazujący dane administrator mógł sprawdzić takiego procesora, niezbędne jest niejednokrotnie przeprowadzenie audytu, np. aby ocenić, czy kontrahent jest przygotowany do RODO. Rzecz w tym, że wielu procesorów zaznacza w kontraktach, że administrator jest uprawniony do przeprowadzania kontroli przetwarzania u procesora, ale w przypadkach nieokreślonych umową musi za to zapłacić opłatę administracyjną w wysokości nawet 20 tys. zł.
Takie zapisy umowne mogą budzić poważne wątpliwości organu nadzorczego. Artykuł 28 ust. 3 lit. h RODO wskazuje bowiem, że umowa powierzenia przetwarzania danych osobowych stanowi w szczególności, iż procesor udostępnia administratorowi danych osobowych wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO. Mało tego, musi on umożliwić administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i wręcz przyczyniać się do nich.
Zdaniem radcy prawnego Andrzeja Lewińskiego, zastępcy GIODO w latach 2006–2016, trudno uznać, żeby obowiązek zapłaty tak dużej sumy oraz uzależnienie wysokości kwoty od uznania procesora stanowiło wspomniane przyczynianie się do audytu i dawało administratorowi ochrony danych możliwość jego swobodnego przeprowadzenia. Ekspert uważa, że procesor mógłby co najwyżej zastrzec sobie w umowie, że audyt może być przeprowadzany tylko w czasie, gdy jego firma jest otwarta. Tak, aby uniknąć żądania przeprowadzania audytu np. w dni wolne od pracy.
Według niektórych ekspertów czynność podpisania całej umowy z klauzulą nakładającą obowiązek zapłaty za audyt lub sama ta klauzula może być nieważna, zgodnie z art. 58 kodeksu cywilnego.