Почтовая служба: процессор или контролер?

Болгарский надзорный орган разъяснил, кем вам приходится DHL: Процессором, со-контролером или самостоятельным контролером данных

Вопрос, кем является компания (контролером или процессором) не теоретический. Он создает вполне практические последствия для объема обязательств, которые необходимо выполнять в соответствии с регламентом. Например, это контролер, а не процессор знакомит пользователей с политикой приватности, это контролер, а не процессор реализует права субъектов, в том числе право быть забытым.


Долгое время шли споры вокруг того, как классифицировать почтовый сервис (DHL, Почту России, Нову Пошту и т.д.) которые доставляют бумажный пакет с персональными данными внутри: Процессором (ст.28 GDPR), со-контролером (joint controller - ст.26 GDPR) или самостоятельным контролером данных (ст. 24 GDPR)?


Недавно надзорный орган Болгарии ответил на письменный запрос и отнес почтовые службы к самостоятельным контролерам данных при такой обработке. Вот ссылка на данное разъяснение.

Спасибо Алексею Мунтяну, который обратил внимание в сообществе DPO,  на этот ответ надзорного органа.