Podle čl. 28 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen "Nařízení"), platí, že mezi správcem a zpracovatelem osobních údajů musí být uzavřena smlouva o zpracování osobních údajů, pokud tu není jiný právní akt, na jehož základě zpracování osobních údajů probíhá (například v případě státních / oblastních archivů).

Ze shora citovaného ustanovení Nařízení dále vyplývá i obsah samotné smlouvy o zpracování osobních údajů, podle které má tato smlouva rovněž pokrývat závazek zpracovatele poskytnout správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v čl. 28 Nařízení, tj. nejen, že zpracovatel plní povinnosti sjednané smlouvou, ale i další povinnosti stanovené Nařízením (de facto přiměřeně povinnosti vztahující se na správce).

Za účelem dalšího prokázání plnění příslušných povinností zpracovatele má smlouva o zpracování osobních údajů obsahovat rovněž závazek zpracovatele umožnit audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

Z předmětného ustanovení tedy sice vyplývá, že správce osobních údajů má právo na inspekce, resp. audity zpracování osobních údajů, ale toto oprávnění nelze bez dalšího vykládat tak široce - tedy, že by zpracovatel byl povinen umožnit takovouto inspekci v neomezeném množství, čímž by v extrémních případech mohl být i samotný provoz zpracovatele paralyzován (zejména tehdy, pokud zpracovatel poskytuje služby větším počtu správců jako například externí zpracovatel mezd).

Ve vašem konkrétním případě bych proto doporučoval sjednat si závazek tak, že bude počet inspekcí omezen, například tak, že správce je oprávněn provést jeden audit za rok za předpokladu, že tedy nebudou zjištěna žádná porušení povinností zpracovatele při zpracování osobních údajů.