処理者への指示

質問

GDPR29条において「処理者、及び、管理者または処理者の下で行動し個人データにアクセスする全ての者は、管理者の指示なしには、これらのデータ処理を行ってはならない」とありますが、「指示に基づく」ということはどのようにして判断するのでしょうか？
例えば、情報サービス事業において、お客様から預かったデータのバックアップをとることは、サービスの仕様としてご説明し、それに基づいた契約を結んでおります。しかし、個々のバックアップ作業につき顧客から指示をもらっているわけではありませんし、バックアップ作業を特出しした同意をとっているものではありません。これで指示をもらっているとしてよいのでしょうか？
（この欄で紹介するQ&Aはこれまで多くのお客様からお寄せいただきました代表的な質問です。）