Европейский совет по защите данных (EDPB) создал разъяснения терминов «процессор», «соконтроллер» и «контроллер».

Эти определения заменили мнение Рабочей группы в статье 29, которая была утверждена в 2010 году GDPR. Положения разъяснений:

• Контроллер – определяет существенные средства обработки данных. К ним относятся категории субъектов, получатели, период обработки, состав данных.
• Процессор – определяет несущественные средства обработки – разновидность программного обеспечения, использование дополнительных мер безопасности.
• Соглашения об обработке данных не должны повторять положения GDPR, которые действовали ранее. Они должны содержать перечень обязательств всех сторон.
• Главным критерием для определения соконтроллеров является запрет на обработку персональных данных без совместного участия остальных соконтроллеров.
• Между соконтроллерами устанавливаются соглашения, содержащие обязательства сторон. К ним относится основание обработки ПД, правила безопасности, последовательность оповещения об инцидентах.
• Концепции процессора и контроллера остались прежними.

Так как перечисленные концепции определяют конкретные обязательства лица по соблюдению регламента по защите данных, необходимо понимать критерии определении роли лица в каждом случае обработки персональных данных. Новые определенные перечисленных терминов позволяют лучше распределять роли участников. Это поможет компаниям выполнять меньше требований и экономить средства во время приведения своей деятельности в соответствие перечисленным требованиям регламенту.