Европейский совет по защите данных (EDPB) создал разъяснения терминов «процессор», «соконтроллер» и «контроллер».
Эти определения заменили мнение Рабочей группы в статье 29, которая была утверждена в 2010 году GDPR. Положения разъяснений:
- Контроллер – определяет существенные средства обработки данных. К ним относятся категории субъектов, получатели, период обработки, состав данных.
- Процессор – определяет несущественные средства обработки – разновидность программного обеспечения, использование дополнительных мер безопасности.
- Соглашения об обработке данных не должны повторять положения GDPR, которые действовали ранее. Они должны содержать перечень обязательств всех сторон.
- Главным критерием для определения соконтроллеров является запрет на обработку персональных данных без совместного участия остальных соконтроллеров.
- Между соконтроллерами устанавливаются соглашения, содержащие обязательства сторон. К ним относится основание обработки ПД, правила безопасности, последовательность оповещения об инцидентах.
- Концепции процессора и контроллера остались прежними.
Так как перечисленные концепции определяют конкретные обязательства лица по соблюдению регламента по защите данных, необходимо понимать критерии определении роли лица в каждом случае обработки персональных данных. Новые определенные перечисленных терминов позволяют лучше распределять роли участников. Это поможет компаниям выполнять меньше требований и экономить средства во время приведения своей деятельности в соответствие перечисленным требованиям регламенту.