Moramo priznati da u našem priličnom iskustvu s projektima GDPR usklađivanja u Hrvatskoj i Sloveniji nismo naišli na slučaj da neka organizacija u ulozi voditelja obrade (određuje svrhu i esencijalne načine obrade) nije angažirala vanjske tvrtke ili pojedince da u njihovo ime vrše obrade osobnih podataka u ulozi izvršitelja obrade.
Krenimo samo od običnog obrta ili tvrtke koje čini samo jedna osoba - vlasnik, koja angažira vanjske tvrtke da im održavaju web stranicu i pružaju web/email hosting ili distribuciju newslettera ili računovodstveni servis za obračun plača. Imamo vanjske izvršitelje i u ulogama održavatelja naših računala, skenera, video nadzora, GPS nadzora vozila, pružatelja Cloud usluga i raznih drugih.
Svaki poslovni subjekt ima pravo samostalno odlučiti hoće li za određene usluge i obradu osobnih podataka angažirati druge tvrtke, i kada tako odluči, obje strane moraju ispuniti sve neophodne uvjete iz članka 28. i 33. GDPR-a s naglaskom na Ugovor o obradi podataka.
Isključivo pravo na odabir izvršitelja obrade je na voditelju obrade i nijedna osoba čiji se osobni podaci obrađuju od strane voditelja i/ili izvršitelja obrade ne može imati utjecaja na odabir.
Naravno, voditelj obrade dužan je za svaku svoju obradu osobnih podataka prije prikupljanja dati do znanja svakom pojedincu koje kategorije vanjskih izvršitelja koristi, a ako želi može ih i izrijekom navesti.
No, u jednom slučaju u Nizozemskoj je pojedinac prijavio voditelja obrade nadzornom tijelu jer mu nije dao mogućnost da da privolu da se njegovi osobni podaci daju izvršitelju obrade, štoviše, tvrdio je da je voditelj obrade mogao angažirati vlastitu tajnicu ili tajnika da radi isti posao ;-)
Naravno, nadzorno tijelo a kasnije i sud odbili su takvu pritužbu pojedinca.
Više o nizozemskom slučaju:
https://gdprhub.eu/index.php?title=Rb._Rotterdam_-_ROT_19/3036&mtc=today