Gotovo da ne postoji poslovni subjekt u svojstvu voditelja obrade prema GDPR terminologiji, koji ne angažira barem jednog izvršitelja obrade, odnosno, drugog pravnog subjekta koji u ime voditelja obrade prema pisanim uputama postupa s osobnim podacima.
 
To su npr. tvrtke za održavanje video nadzora, GPS nadzora vozila, knjigovodstveni servisi, Cloud i web hosting provideri, održavatelji aplikacija i IT sustava i sl.
 
Sve češće se kao izvršitelji obrada pojavljuju Call Centri čije agente, znanje i kapacitete unajmljuje tvrtka koja želi pospješiti vlastite prodajne aktivnosti ili osigurati svoju korisničku službu, i daje pristup osobnim podacima svojih klijenata Call Centru kao izvršitelju obrade.
 
Pri tom je tvrtka dužna sklopiti Ugovor iz članka 28. GDPR-a i eventualno dati dodatne pisane upute Call Centru kako mora i smije postupati s osobnim podacima njegovih klijenata.
 
Štoviše, tvrtka je obvezna redovito nadzirati rad Call Centra, njegovo postupanje s osobnim podacima i implementirane mjere zaštite osobnih podataka kao i tražiti dokaze usklađenosti Call Centra s GDPR obvezama.
 
Takav slučaj se nije dogodio u Španjolskoj, gdje je globalno najveći telekom Vodafone zanemario nadzirati rad vanjskog Call Centra.
 
A vanjski Call Centar je pogreškom nazvao korisnika Vodafone mreže unatoč tome što je korisnik upisao svoj telefonskim broj u tzv. Registar "Ne zovi".
 
Naravno, korisnik je prijavio slučaj nadzornom tijelu koje je "odrezalo" drastičnu kaznu Vodafoneu od 100.000 EUR zbog jednog pogrešnog poziva i zbog izostanka provedbe redovitog nadzora nad postupanje Call Centra.
 
Da zaključimo, svaki poslovni subjekt (voditelj obrade) koji angažira drugog poslovnog subjekta da u njegovo ime obrađuje osobne podatke (izvršitelja obrade), obvezan je:
 
1. Angažirati isključivo izvršitelja obrade koji radi potpuno u skladu s GDPR obvezama i osigurava tražene organizacijske i tehničke mjere zaštite osobnih podataka
 
2. Za vrijeme trajanja angažmana redovito ga nadzirati, provoditi redovite audite usklađenosti barem jednom godišnje
 
3. Raskinuti ugovor o angažmanu ako uoči nepoštivanje GDPR obveza od strane izvršitelja obrade.
 
Više o Call Centar slučaju:
 
https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00030/2021&mtc=today