Curtea de Justiție a Uniunii Europene a stabilit că poate fi considerată operator de date cu caracter personal entitatea care a însărcinat o întreprindere să dezvolte o aplicație informatică, chiar dacă nu a efectuat ea însăși operațiuni de prelucrare a unor date cu caracter personal.
De asemenea, a fost stabilit că reprezintă o prelucrare utilizarea unor date cu caracter personal în scopul testării informatice a unei aplicații, cu excepția cazului în care datele au fost anonimizate astfel încât persoana vizată nu mai este identificabilă sau este vorba despre date virtuale.
Entitatea care a însărcinat o întreprindere să dezvolte o aplicație informatică și care a participat la stabilirea scopurilor și mijloacelor prelucrării datelor realizate prin intermediul aplicației va fi considerată operator de date cu caracter personal chiar dacă nu a efectuat ea însăși operațiuni de prelucrare a unor date cu caracter personal.
Entitatea nu va fi considerată operator de date cu caracter personal doar în ipoteza în care, anterior momentului la care aplicația a fost pusă la dispoziția publicului, aceasta s‑a opus expres acestei puneri la dispoziție și a prelucrării datelor cu caracter personal care au rezultat.
Prin aceeași decizie, a fost stabilit că un operator nu poate fi sancționat cu amenda în ipoteza în care persoana împuternicită a efectuat prelucrarea datelor cu caracter personal în scopuri proprii, într-un mod incompatibil cu cadrul sau modalitățile de prelucrare ori într-un mod cu privire la care nu se poate considera în mod rezonabil că operatorul și-ar fi dat consimțământul.
