Ez, a gyakran feltett kérdés félreértésen alapul. A vállalkozást adatkezelői minőségében terheli a GDPR-ral kapcsolatos kötelezettség. Ez azt jelenti, hogy a saját megfeleléséről saját magának kell gondoskodnia. Fel kell mérnie az adatvagyonát, át kell vizsgálnia az adatkezeléseket, el kell készítenie a belső nyilvántartást, az incidens-nyilvántartást és az adattovábbítási nyilvántartást.

Ezen túlmenően megfelelő tájékoztatókat, szabályzatokat is kell készítenie, hiszen tájékoztatási kötelezettsége is fennáll a munkavállalók/ügyfelek/egyéb érintettek irányába.

Ezzel szemben a könyvelő adatfeldolgozó. Vele adatfeldolgozói szerződést kell kötnie a vállalkozónak, melyben a GDPR 28. cikkében foglalt követelményeket kell érvényesíteni. Őt azonban a fenti kötelezettségek nem terhelik, hiszen az adatkezelő kötelezettsége a saját szabályrendszerének kialakítása, erre az adatfeldolgozónak teljes mértékben rálátása sem lehet.

Következésképpen, a GDPR megfelelés szabályait mindenkinek magára szabottan, a saját adatkezelési metodikáját figyelembe véve kell kialakítani, a saját működésére szabni.