Controller op basis van de keuze van het doel en “essentiële” middelen
De Europese Toezichthouder voor gegevensbescherming (EDPS) stelt in een opinie dat een entiteit/partij alleen kan optreden als controller wanneer zij het doel en de essentiële middelen van de verwerking bepaalt. “Essentiële middelen” zijn nauw verbonden met het doel en de reikwijdte van de verwerking. Aan de andere kant hebben “niet-essentiële middelen” betrekking op praktische aspecten van de implementatie, zoals:
- de keuze voor een bepaald type hardware of software
- de gedetailleerde beveiligingsmaatregelen
Deze “niet-essentiële middelen” kunnen aan de verwerker worden overgelaten om te beslissen, zonder als controller te worden beschouwd.
De richtlijnen en praktische voorbeelden die door de EDPS worden gegeven, kunnen ook in de praktijk relevant zijn binnen het kader van de GDPR bij het overwegen van de mate waarin een verwerker beslissingen kan nemen om nog steeds als verwerker te worden beschouwd.