Zaista previše puta naišli smo u posljednje vrijeme da ugovori između voditelja obrade i izvršitelja obrade ne sadrže jednu od ključnih obveza Izvršitelja obrade - obvezu da bez nepotrebnog odlaganja, što znači odmah po saznanju ili sumnji, jave Voditelju obrade da se dogodila povreda podataka.

Najčešći razlog izostanka definiranja takve obveze u ugovorima između Voditelja obrade i Izvršitelja obrade je taj što se ta obveza ne spominje u članku 28. GDPR-a već u članku 33. stavci 2., 3. i 4. GDPR-a.

Stoga u vašem ugovoru s vanjskim izvršiteljima inzistirajte da se utvrdi jasna obveza Izvršitelja obrade da bez odgode obavijesti Voditelja obrade o svakom događaju, radnji ili propuštanju koje rezultira ili može rezultirati povredom osobnih podataka ukoliko ima saznanja o istima. Navedena obavijest, koja obvezno uključuje, ali se ne ograničava na naznaku vremena saznanja, prema objektivnim mogućnostima mora sadržavati detaljan opis i sve raspoložive okolnosti povrede ili potencijalne povrede osobnih podataka.