может определять надлежащие технические и организационные меры, которые должны приниматься при обработке персональных данных, но он не вправе устанавливать категории субъектов персональных данных и сами данные, которые обрабатываются, а также получателей персональных данных, сроки хранения и законные основания обработки персональных данных. Если Процессор выходит за пределы своих полномочий, он, с большей долей вероятности, будет признаваться Контролером, что, соответственно, отразится на его ответственности за обработку персональных данных (статья 28 GDPR).