В ОРЗД се прави разграничение между две основни роли: тези на администратора на данни и обработващия лични данни. Това разграничение е от решаващо значение, тъй като администраторът на данни носи по-голяма отговорност и трябва да изпълнява повече задължения от обработващия лични данни.

Администраторите и обработващите лични данни могат да бъдат физически или юридически лица, например: МСП, публичен орган, дружество, организация, държавен орган, сдружение и т.н.

Администраторът на данни определя целите и средствата на операцията по обработване. С други думи, администраторът решава как и защо се извършва операция по обработване. Докато обработващите лични данни обработват лични данни от името на администратора. Обработването, извършвано от обработващите, трябва да бъде уредено в договор с администратора на данни или в друг правен акт.

Примери за администратори на данни:

• дружества, които обработват личните данни на своите клиенти, за да извършат продажба;
• финансови институции, които обработват лични данни на своите клиенти;
• асоциации, които обработват данните на своите членове;
• училища или университети, които обработват лични данни на студенти и учители;
• болници, които обработват лични данни на своите пациенти;
• правителствени агенции, които обработват лични данни на граждани.

Примери за обработващи данни:

• МСП наема счетоводна служба, която да съхранява неговите счетоводни книги и регистри, МСП е администратор на данни, а счетоводната служба — обработващ данни;
• дружество за заплати обработва лични данни за МСП. Дружеството ще действа като обработващ лични данни, ако обработва единствено личните данни от името на МСП. МСП определя целите и средствата за обработването на данните и следователно е администратор на данни.
• МСП възлага на маркетингова компания да събира имейл адреси чрез уебсайтове на трети страни. Маркетинговото дружество прави това в съответствие с изричните указания на МСП и за изключителни цели на МСП. Маркетинговата компания действа като обработващ за това обработване на данни.

Повече информация:

• Администратор на данни или обработващ лични данни

ДЛЗД може да бъде настоящ служител с достатъчно познания по ОРЗД (ако професионалните задачи на служителя са съвместими с тези на ДЛЗД и това не води до конфликт на интереси) или външно лице. ДЛЗД следва да може да изпълнява задачи независимо и да може да докладва пряко на най-висшето ръководство.

Повече информация:

• Длъжностно лице по защита на данните

Ако Вашата организация събира личните данни директно от физически лица, тя трябва да предостави необходимата информация в момента на събирането.
В случай на непряко събиране на лични данни, Вашата организация трябва да предостави информацията най-късно в рамките на един месец след първоначалното получаване на личните данни. Този максимален срок от един месец може да бъде намален:

• ако личните данни се използват за целите на комуникацията със субекта на данните. В този случай трябва да уведомите субекта на данните най-късно при първото съобщение до лицето;
• ако данните се предават на друг получател, организацията информира субектите на данни за това най-късно при предаването на личните данни.

Повече информация:

• Зачитане на правата на физическите лица