U Općoj uredbi o zaštiti podataka razlikuju se dvije glavne uloge: one voditelja obrade i izvršitelja obrade. Ta je razlika ključna jer voditelj obrade podataka snosi veću odgovornost i mora ispunjavati više obveza od izvršitelja obrade.

Voditelji obrade i izvršitelji obrade mogu biti fizičke ili pravne osobe, na primjer: malo i srednje poduzeće, javno tijelo, poduzeće, organizacija, državno tijelo, udruga itd.

Voditelj obrade određuje svrhe i sredstva postupka obrade. Drugim riječima, voditelj obrade odlučuje kako i zašto provoditi obradu. Budući da izvršitelji obrade obrađuju osobne podatke u ime voditelja obrade, obrada koju provode izvršitelji obrade mora biti uređena ugovorom s voditeljem obrade ili drugim pravnim aktom.

Primjeri voditelja obrade podataka:

• društva koja obrađuju osobne podatke svojih klijenata kako bi dovršila prodaju;
• financijske institucije koje obrađuju osobne podatke svojih klijenata;
• udruge koje obrađuju podatke svojih članova;
• škole ili sveučilišta koja obrađuju osobne podatke studenata i nastavnika;
• bolnice koje obrađuju osobne podatke svojih pacijenata;
• vladine agencije koje obrađuju osobne podatke građana.

Primjeri izvršitelja obrade podataka:

• malo i srednje poduzeće angažira knjigovodstveni servis za vođenje svojih knjiga i evidencije, malo i srednje poduzeće je voditelj obrade, a knjigovodstveni servis izvršitelj obračun;
• knjigovodstveni servis radiobračun plaća te obrađuje osobne podatke za mala i srednja poduzeća. Knjigovodstveni servisdjelovat će kao izvršitelj obrade ako obrađuje osobne podatke isključivo u ime malih i srednjih poduzeća. Malo i srednje poduzeće određuje svrhe i sredstva obrade podataka te je stoga voditelj obrade.
• Mala i srednja poduzeća naručuju usluge marketinškog društva za prikupljanje adresa e-pošte putem internetskih stranica trećih strana.  Marketinško društvo to čini u skladu s izričitim uputama malog i srednjeg poduzeća i isključivo za potrebe malog i srednjeg poduzeća. Marketinško društvo djeluje kao izvršitelj obrade za navedenu radnju.

Više informacija:

• Voditelj obrade ili izvšitelj obrade

Službenik za zaštitu podataka može biti postojeći zaposlenik s dostatnim znanjem o Općoj uredbi o zaštiti podataka (ako su profesionalni zadaci zaposlenika kompatibilni sa zadaćama službenika za zaštitu podataka i to ne dovodi do sukoba interesa) ili vanjska osoba. Službenik za zaštitu podataka trebao bi moći neovisno obavljati zadaće i trebao bi moći izravno izvješćivati najviše rukovodstvo.

Više informacija:

• Službenik za zaštitu podataka

Ako vaša organizacija prikuplja osobne podatke izravno od pojedinaca, mora pružiti potrebne informacije u trenutku prikupljanja.

U slučaju neizravnog prikupljanja osobnih podataka, vaša organizacija mora pružiti informacije najkasnije u roku od mjesec dana od prvotnog prikupljanja osobnih podataka. To najdulje razdoblje od mjesec dana može se skratiti:

• ako se osobni podaci koriste u svrhu komunikacije s ispitanikom. U tom slučaju morate obavijestiti ispitanika najkasnije u trenutku prve obavijesti ispitaniku;
• ako se podaci prenose drugom primatelju, organizacija o tome obavješćuje ispitanike najkasnije prilikom prijenosa osobnih podataka.

Više informacija:

• Poštuj prava pojedinaca

Pojedinci vas mogu pitati obrađujete li njihove podatke te imaju pravo na pristup tim podacima. Dakle, kada se to dogodi i ako obrađujete njihove podatke, trebali biste, na primjer, besplatno dostaviti kopiju njihovih osobnih podataka zajedno sa svim potrebnim dodatnim informacijama. Ako je zahtjev podnesen elektroničkim putem, vaša bi organizacija trebala dostaviti tražene informacije u uobičajenom elektroničkom obliku, osim ako pojedinac zatraži drukčije.

Više informacija:

• Poštovanje prava pojedinaca

Povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima.

• Ako povreda podataka predstavlja rizik za dotične pojedince, morate je prijaviti nadležnom nadzornom tijelu za zaštitu podataka u roku od 72 sata.
• Ako je vjerojatno da će povreda prouzročiti visok rizik za pojedince, o tome ćete morati obavijestiti i pojedince na koje se to odnosi bez nepotrebnog odgađanja.

U svakom slučaju, za sva kršenja – čak i ona koja nisu prijavljena nadzornom tijelu za zaštitu podataka – morate zabilježiti barem osnovne pojedinosti o povredi, procjenu povrede, njezine učinke i mjere poduzete kao odgovor.

Više informacija:

• Povrede podataka