A legtöbb cég eljutott az adatkezelési tájékoztató és az adatkezelési szabályzat létrehozásáig. Sokan jogi szakértő bevonásával, sokan sablon személyre szabást követően tettek szert a fenti dokumentumokra.
A legtöbb mintaszabályzat tartalmazza azt az elvárást, hogy azokkal az alvállalkozókkal, akik hozzáférnek a szervezet által kezelt személyes adatokhoz adatfeldolgozói szerződést kellene a szervezetnek kötnie. A Gill & Murry felmérése alapján az magyarországi cégek alig egyharmada rendelkezik az összes alvállalkozójával megfelelő adatfeldolgozói szerződéssel.
Az adatfeldolgozók az adatkezelő nevében végzik az adatkezelési tevekénységet, ennek következtében az adatkezelő lesz az elszámoltatható az esetleges hibákért.
Mindkét félnek érdeke az adatfeldolgozói szerződés megkötése – mondta Sándor Zsolt András a Gill & Murry adatvédelmi szakértő partnere – mert a szerződés hiányában mindkét fél adatkezelőnek minősül és büntethetővé válik. Az adatkezelők érdeke, hogy kialakítsák a kontrollt alvállalkozóik adatkezelési tevékenysége felett, míg az alvállalkozók érdeke, hogy elkerüljék a direkt hatósági büntethetőséget.
A Gill & Murry azt javasolja minden adatkezelési tevekénységet végzőnek, hogy vizsgálják felül az adatfeldolgozási tevekénységeiket és alakítsak a GDPR rendelet elvárásainak megfelelően a szükséges szerződéseket függetlenül attól, hogy a szervezet az alvállalkozó vagy a szervezet alkalmaz alvállalkozókat az adatkezelési tevékenységre.
Bár sokan gondolják, hogy ez a feladat számukra érdektelen, de könyvelője, IT szolgáltatója vagy toborzási alvállalkozója szinte minden szervezetnek van – tette hozzá Sándor Zsolt András.