A GDPR 28. cikke megköveteli az adatkezelőktől, hogy az adatfeldolgozókkal kötött szerződéseikben térjenek ki egy hosszú listában meghatározott, részben új kérdések kezelésére. Az új szerződéses megállapodásoknak a célja, hogy biztosítsák  azon személyek  védelmét, akiknek az adatait a kiszervezés tárgya képezi. Az adatkezelés kockázatát az adatkezelő és az adatfeldolgozó közösen viseli.

Az adatkezelők és az adatfeldolgozók szemszögéből viszont ez azt is jelenti, hogy újra kell gondolniuk az outsourcing szerződéseket és a korábban alkalmazott  üzleti modellt.
A GDPR jelentősen kiterjeszti az adatfeldolgozóra rótt szerződéses kötelezettségek listáját. Ezen kötelezettség növekedés három fő csoportba sorolható: olyan kötelezettségek, amelyek

• műszaki és szervezeti intézkedéseket írnak elő az adatfeldolgozó számára,
• megnövelik a kommunikációt az adatfeldolgozó és az adatkezelő között,
• a „nem megfelelésből” eredő kockázatok miatt keletkeznek a szerződés teljesítése során.

1. Műszaki és szervezeti intézkedések

Az adatkezelő csak olyan szolgáltatót bízhat meg az adatfeldolgozással, amelyik megfelelő garanciákat tud nyújtani arra vonatkozóan, hogy olyan műszaki és szervezeti intézkedéseket vezeti be, melyek megfelelnek a GDPR rendeletben előírtaknak és biztosítják az adatok biztonságos kezelését.

Ez azt jelenti, hogy az adatkezelőnek a szerződés megkötése előtt gyakorlatilag át kell világítania a potenciális adatfeldolgozót, a szerződésnek pedig tartalmaznia és részleteznie kell azokat a műszaki és szervezeti intézkedéseket, melyeket az adatfeldolgozó már bevezetett, vagy  hamarosan be fog vezetni.

Az adatfeldolgozó tevékenység nyomon követése:

A szerződés alapján az adatfeldolgozónak dokumentálnia kell az adatfeldolgozási folyamatot. Az adatkezelő nevében végrehajtott adatfeldolgozási tevékenységéről nyilvántartást kell vezetni. Talán nem is kell részletezni, hogy mindez milyen nagyságú adminisztráció-növekedést fog jelenteni.

Titoktartási záradékot is kell, hogy tartalmazzon a szerződés, amelyben az adatfeldolgozó biztosítja, hogy a személyes adatokat bizalmasan kezeli.

Az adatfeldolgozónak megfelelő szintű adatbiztonságról kell gondoskodnia.

Az adatfeldolgozási szolgáltatás befejezésével együtt az adatfeldolgozónak biztosítania kell a személyes adatok törlését vagy az adatkezelőnek történő visszaadását.

2. Kommunikációs előírások

Az adatfeldolgozó nem bízhat meg másik adatfeldolgozót mint alvállalkozót az adatkezelő előzetes írásbeli hozzájárulása nélkül.
Alvállalkozó esetében biztosítania kell az adatfeldolgozónak, hogy az alvállalkozó ugyanazokat az adatvédelmi előírásokat alkalmazza, mint amelyekben Ő az adatkezelővel megállapodott. Az alvállalkozó hibáiért az adatfeldolgozó felelős.

Az adatkezelőnek köteleznie kell az adatfeldolgozót, hogy az utasításai szerint járjon el. Az adatfeldolgozónak haladéktalanul tájékoztatnia kell az adatkezelőt, ha véleménye szerint egy utasítás megsérti a GDPR vagy a tagállam törvényeit. A GDPR előírásai szerint, ha egy adatfeldolgozó meghatározza a feldolgozási tevékenység célját és eszközeit anélkül, hogy az adatkezelő erre vonatkozó utasítását követné, akkor az adatfeldolgozót ezen minőségében adatkezelőnek kell tekinteni. A szerződésnek pontosan meg kell határoznia azt, hogy mi minősül adatkezelői utasításnak (mely szabályzatok, eljárások minősülnek utasításnak, ki jogosult utasítást adni stb.). Rendelkezni kell továbbá arról is, hogy az egyes utasítások megváltoztatásából eredő többletköltségeket ki fogja viselni.
Az adatfeldolgozónak közre kell működnie az adatkezelő kötelezettségeinek a teljesítésében. A szerződésnek tartalmaznia kell azt az eljárásrendet, ami egy személyes adat kezeléséhez kapcsolódó kérések esetében követendő.

Az adatfeldolgozónak haladéktalanul értesítenie kell az adatkezelőt minden olyan esetben, amikor személyes adatok kezelésére vonatkozó szabályok megsértéséről tudomást szerzett.
Az adatfeldolgozónak minden szükséges információt biztosítania kell az adatkezelőnek, ami kötelezettségei teljesítésének igazolásához szükséges, lehetővé teszi az ellenőrök, vagy az adatkezelő által kijelölt könyvvizsgáló számára történő ellenőrzést. Ebből kifolyólag a szerződésnek érdemes tartalmaznia egy fejezetet arra vonatkozóan, hogy egy ilyen vizsgálat milyen szinteket érint, és hogy ki viseli ennek a költségeit.

3. Kockázatok megosztása

A GDPR megszegéséből eredő felelősségi és kártalanítási szabályokat szerződésben kell rögzíteni. Meg kell határozni, hogy ki viseli a kockázatokat a GDPR-ban meghatározott kötelezettségek megsértésének a különböző eseteiben.
A GDPR rendelet be nem tartásából az adatkezelőknek és az adatfeldolgozóknak a következő kockázatokkal kell szembesülniük:

Bírságok:
Az előző évi globális árbevétel 4%-ának, vagy 20 millió eurónak megfelelő mértékben.

Kártérítési igények:
Mind az anyagi, mind a nem anyagi károk tekintetében követeléssel élhetnek az adatkezelés megsértése miatt az érintett személyek.

Egyéb szankciók:
A felügyeleti hatóságok feltételezhetően egyéb szankciókkal is élhetnek majd, de erre a helyi szabályozás hiányában még nincs rálátásunk.

Mik a legfontosabb teendők

1. Meg kell érteni, hogy mi ez az egész, miért fontos és mik a kockázatai, ha nem foglalkozik vele egy szervezet.
2. A lehető leghamarabb azonosítani kell az érintett folyamatokat és szükség esetén a GDPR-nak megfelelővé kell alakítani azokat.
3. Felül kell vizsgálni a hatályos szerződéseket, hogy az abban foglaltak megfelelnek-e a GDPR rendeletben foglaltaknak.
4. Biztosítani kell az adatfeldolgozási folyamat nyomon követhetőségének a feltételeit.
5. Felül kell vizsgálni a szervezeten belül az adatok hozzáféréséhez való jogosultságokat, legyen szó digitális vagy papír alapú dokumentumokban szereplő adatokról.
6. Meg kell vizsgálni, hogy az érintett kockázatok kezelésére megfelelő felelősségbiztosítással rendelkezik-e az adatkezelő és az adatfeldolgozó.
7. Adatkezelésre vonatkozó szabályzatot kell a szervezeteknek bevezetniük, valamint a munkavállalók oktatásáról is gondoskodni kell.
8. Szervezettől, tevékenységtől függő egyéb feladatok.