מעבד מידע (processor) לא רשאי להשתמש לצרכיו-העצמיים במידע שהוא מקבל לעיבוד מלקוחו - בעל השליטה במידע (controller) - אלא אם החוזה עם הלקוח התיר לו לעשות כן, ואז מעבד המידע נושא באחריות כ-controller על העיבוד הנוסף. כך קובעות הבהרות חדשות שמפרסמת רשות הגנת המידע בצרפת (CNIL).
ההבהרות ממשיכות ומסבירות מתי בעל השליטה המקורי במידע יכול להרשות למעבד המידע שימוש משני במידע. ככל שמטרת השימוש הראשונית במידע לא מבוססת על הסכמת נושא המידע, בעל השליטה המקורי נדרש לבחון האם השימוש המשני ע"י מעבד המידע תואם (compatible) למטרה המקורית לשמה נאסף המידע. עליו להביא בחשבון את הזיקה בין שתי מטרות העיבוד, ההקשר בו נאסף המידע, מהות המידע ורגישותו, ההשפעות האפשריות על נושאי המידע ואפשרות השימוש באמצעים משמרי-פרטיות, כדוגמת פסאודונימיזציה.
רשות הגנת הפרטיות בצרפת מדגימה כי שימוש במידע ע"י ספק שירותי ענן לצורך שיפור שירותיו יכול להיחשב 'תואם' אם ננקטים אמצעים כדוגמת אנונימיזציה ככל שהשימוש המשני לא מצריך מידע מזוהה. להבדיל, קשה לראות כיצד שימוש משני לצורכי שיווק יחשב כ'תואם' למטרת השימוש הראשונית. עוד מהבהירה הרשות בצרפת כי הסכמת בעל השליטה במידע לעיבוד משני ע"י מעבד המידע צריכה להבחן בכל מקרה לגופו והסכמה צריכה להיות מתועדת בכתב. מעבד המידע נדרש לציית לכל חובות ה-GDPR הנוגעות לשימוש המשני, שכן הוא נחשב לבעל השליטה במידע לגבי העיבוד הזה.
עיקרון השקיפות מחייב ליידע את נושאי המידע על השימוש המשני במידע ולהודיע להם אם עומדת להם זכות סירוב. חובת היידוע מוטלת באופן עקרוני על בעל השליטה המקורי במידע, אך הוא רשאי להאציל אותה למעבד המידע אם פרטי הקשר של נושאי המידע נמצאים בידי מעבד המידע.