מועצת הרגולטורים להגנת מידע של מדינות האיחוד האירופי (European Data Protection Board - EDPB) פרסמה את ההנחיות הסופיות בנושא בעלי שליטה במידע (Controllers) ומעבדי מידע (Processors) לפי ה-GDPR. הגרסה הסופית מתפרסמת לאחר שבשנה שעברה פורסמה להערות הציבור טיוטה שלה.
ההנחיה מבארת את המונחים בעל שליטה במידע, מעבד מידע ובעלי שליטה בצוותא (Joint Controllers). היא מחדדת מהן אמות המידה המסייעות לקבוע האם ארגון ייחשב לבעל שליטה במידע, מעבד מידע או בעל שליטה בצוותא עם ארגונים אחרים. ההנחיה מדגישה כי ארגון יכול להיות בעת ובעונה אחת בעל שליטה לגבי מידע מסוג אחד ומעבד לגבי מידע מסוג אחר.
לפי ההנחיה, סממנים של בעל שליטה במידע קיימים כאשר לארגון צומחת תועלת מעיבוד המידע מלבד עצם גביית התשלום עבור שירות, כאשר עיבוד המידע הוא על מערכת היחסים עם עובדי הארגון או לקוחותיו, או כאשר יש לארגון אוטונומיה להחליט כיצד יעובד המידע. סממנים של מעבד מידע קיימים כאשר לארגון אין מטרה משלו בעיבוד המידע והוא עושה כן רק לתועלת גורם אחר או כאשר הארגון כפוף להנחיות של גורם אחר בעיבוד המידע.
ההנחיה כוללת מספר דוגמאות המתארות מצבים נפוצים של עיבוד מידע, בהן:
- חברה המציעה שירותי תקשורת אלקטרוניים, כדוגמת דוא"ל, תחשב על-פי רוב כבעלת השליטה לגבי מידע הדרוש לתפעול השירות, כדוגמת נתונים המשמשים אותה לחיוב הלקוחות ונתוני תעבורה. כל עוד העיבוד שמבצעת החברה לגבי הודעות הדואר האלקטרוני הוא רק לשם העברתן מהשולח לנמען, היא לא תחשב לבעלת שליטה לגבי המידע שבתוכן הודעות הדואר האלקטרוני. שולח ההודעה בדרך-כלל ייחשב לבעל השליטה במידע הזה.
- חברה המציעה שירות אחסון מידע בענן, במתכונת טכנולוגית שגרתית. כל עוד חברת שירות האחסון בענן לא מעבדת את המידע לצרכים משלה ורק מאחסנת אותו לטובת הלקוח שלה ובהתאם להוראותיו, החברה תחשב למעבדת מידע בלבד.
ההנחיה גם מפרטת על אודות ההשלכות שיש לסיווג הארגון כבעל שליטה במידע, מעבד מידע או בעל שליטה בצוותא. לדוגמה, בעל שליטה במידע המתקשר עם מעבד מידע נדרש לכרות עמו הסכם עיבוד מידע התואם לדרישות סעיף 28 ל-GDPR. ארגונים שהם בעלי שליטה בצוותא נדרשים לכרות ביניהם הסכם שמתווה את חלוקת האחריות ביניהם לחובות ה-GDPR המוטלות על בעל שליטה במידע, בהתאם לסעיף 26 ל-GDPR.