Czy wgląd do dokumentów zawierających dane osobowe przez audytorów w ramach świadczenia usługi certyfikacji należy traktować jako przetwarzanie danych poza zbiorem danych, które to przetwarzanie nie podlega przepisom o ochronie danych osobowych?

Firma świadczy usługi certyfikacji zgodności z normami ISO dla organizacji. W ramach wykonywania usługi audytorzy mają dostęp do szerokiego spektrum dokumentów, w których dane osobowe się znajdują. Co do zasady jedynie przeglądają te dokumenty. IOD drugiej strony wskazuje, że "sam wgląd do dokumentów zawierających dane osobowe należy traktować jako przetwarzanie danych poza zbiorem danych, które to przetwarzanie nie podlega przepisom o ochronie danych osobowych - zatem umowa powierzenia przetwarzania jest zbyteczna. Jednak w sytuacji, w której dane zostaną utrwalone przez podmiot certyfikujący stanie się on ich administratorem i będzie zobowiązany przetwarzać je na zasadach określonych w RODO." Czy IOD klienta ma rację?