Sokan csak szenvedői a GDPR rendeletnek. Rengeteg adminisztratív kötelezettséggel jár, de a hasznát még nem sokan realizálták. Még a mai napig vannak olyan szervezetek, akik egy lépést sem tettek a GDPR felkészülés irányába. Elsősorban a mikro- és kisvállalatokról van szó, akik sem humán, sem pénzügyi erőforrással nem rendelkeznek egy komolyabb felkészülésre.
Sok multi és magyar közép és nagyvállalat azonban tanulva mások hibáiból és a büntetésekből kezd egyre jobban odafigyelni a GDPR megfelelésre és valamilyen adatkezelési kiegészítést már kötött azokkal az alvállalkozóival melyek adatot kezelnek a nevében. Ezen a területen az a tapasztalatunk, hogy szinte kizárólag adminisztratív tevekénységről van szó – tette hozzá Sándor Zsolt András a Gill & Murry Adatvédelmi szakértője – és valós kontrollt az adatkezelő nem alkalmaz az alvállalkozóival szemben. A gyakorlatban például ezt azt jelenti, hogy bár egy szolgáltató nevében jelenik meg a szerelő, de nem a szolgáltató alkalmazottja.
A következő lépés, melyet már többen alkalmaznak, egy GDPR adatfeldolgozói átvilágítás, vagy legalább egy részletes nyilatkozat. Az ISO megfelelések esetében is sokszor alkalmazzák ezt a technikát, egy részletes akár 100 kérdésből álló kérdőíven kell az alvállalkozónak nyilatkoznia, hogy az általa végzett tevékenység során milyen védelmi intézkedéseket valósított meg az adatkezelési tevekénység során.
Ezek a kérdések már sokszor informatikai vonatkozásúak, például: van-e mentés, mikor volt adatvisszaállítási teszt, enkriptáltak-e a notebookok, van-e hozzáférés nyilvántartás stb...
Amennyiben az adatkezelő kockázatosnak ítéli meg az adatfeldolgozó tevékenységét akár helyszíni ellenőrzést is tarthat, vagy konkrét védelmi, informatikai vagy adatkezelési folyamatot írhat elő az alvállalkozó számára.