Ukoliko ste izvršitelj obrade (npr. knjigovodstveni servis, IT usluge, održavanje video nadzora, praćenje GPS kretanja vozila, pa čak i škole, ljekarne, ambulante ili lokalne institucije u nekim slučajevima, agencije za zapošljavanja, prevoditelji itd.), odnosno, vršite obrade osobnih podataka, prikupljate osobne podatke u ime voditelja obrade ili imate uvid u osobne podatke poslovnog subjekta koji vas je angažirao, kao npr. tvrtke, institucije, tijela javne vlasti, škole, osim što morate imati sklopljen ugovor o zaštiti podataka s voditeljem obrade i jasne pisane upute voditelja obrade kako smijete i morate vršiti obradu podataka za njih.
Ukoliko uočite da je uputa voditelja obrade suprotna GDPR-u, obvezni ste odmah obavijestiti voditelja obrade o tome. To je obveza iz članka 28. stavak 3. točke (h) drugog podstavka Opće uredbe o zaštiti podataka (GDPR).
To znači da ste dužni i dobro poznavati GDPR da biste mogli prepoznati da određena uputa nije u skladu s tom uredbom.
Primjer:
voditelj obrade ovlasti vašu tvrtku da za njega prikupljate privole fizičkih osoba i da mu ih predate. Ukoliko obrazac privole nije u skladu s GDPR-om, vi daljnjim postupanje prikupljate privole koje će u konačnici biti nevaljale. Morate o tome odmah obavijestiti voditelja obrade.
Primjer:
održavate sustav video nadzora za neku tvrtku koja vas trazi da omogućite zadržavanje svih snimki na razdoblje više od 6 mjeseci. Morate se usprotiviti.
Primjer:
održavate aplikativno rješenje za neku tvrtku i izradili ste potpuno novu ili unaprijeđenu verziju koju biste testirali. Voditelj obrade vas uputi da uzmete dio “živih” podataka koje obrađujete za njega, morate to odbiti bez odlaganja. Testiranje se ne smije vršiti na stvarnim osobnim podacima.