BDAR išskiriami du pagrindiniai vaidmenys: duomenų valdytojo ir duomenų tvarkytojo. Šis atskyrimas yra labai svarbus, nes duomenų valdytojui tenka didesnė atsakomybė ir jis turi įvykdyti daugiau įsipareigojimų nei duomenų tvarkytojas.

Duomenų valdytoju ir tvarkytoju gali būti fiziniai arba juridiniai asmenys, pavyzdžiui: MVĮ, valdžios institucija, įmonė, organizacija, valstybinė įstaiga, asociacija ir kt.

Duomenų valdytojas nustato duomenų tvarkymo operacijos tikslus ir priemones. Kitaip tariant, duomenų valdytojas nusprendžia, kaip ir kodėl atliekama duomenų tvarkymo operacija. Tuo tarpu duomenų tvarkytojai tvarko asmens duomenis duomenų valdytojo vardu. Duomenų tvarkytojų atliekamas duomenų tvarkymas turi būti reglamentuojamas sutartimi su duomenų valdytoju arba teisės aktu.

Duomenų valdytojų pavyzdžiai:

• įmonės, kurios tvarko savo klientų asmens duomenis, kad užbaigtų pardavimą;
• finansų įstaigos, kurios tvarko savo klientų asmens duomenis;
• asociacijos, kurios tvarko savo narių duomenis;
• mokyklos ar universitetai, tvarkantys studentų ir dėstytojų asmens duomenis;
• ligoninės, kurios tvarko savo pacientų asmens duomenis;
• valdžios institucijos, kurios tvarko piliečių asmens duomenis.

Duomenų tvarkytojų pavyzdžiai:

• MVĮ samdo buhalterinės apskaitos paslaugą savo knygoms ir įrašams saugoti, MVĮ yra duomenų valdytoja, o buhalterijos įmonė – duomenų tvarkytoja;
• darbo užmokesčio bendrovė tvarko MVĮ tvarkomus asmens duomenis. Darbo užmokesčio bendrovė veiks kaip duomenų tvarkytoja, jei ji asmens duomenis tvarkys tik MVĮ vardu. MVĮ nustato duomenų tvarkymo tikslus ir priemones, todėl yra duomenų valdytoja.
• MVĮ paveda rinkodaros įmonei rinkti el. pašto adresus trečiųjų šalių svetainėse.  Rinkodaros bendrovė tai daro vadovaudamasi aiškiais MVĮ nurodymais ir išimtinai MVĮ tikslais. Rinkodaros bendrovė veikia kaip šio rinkimo duomenų tvarkytoja.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

DAP gali būti esamas darbuotojas, turintis pakankamai žinių apie BDAR (jei darbuotojo profesinės užduotys yra suderinamos su DAP užduotimis ir dėl to nekyla interesų konfliktų) arba išorės asmuo. DAP turi sugebėti savarankiškai atlikti užduotis ir turėtų tiesiogiai atsiskaityti aukščiausiajai vadovybei.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Jei jūsų organizacija renka asmens duomenis tiesiogiai iš asmenų, ji turi pateikti reikiamą informaciją rinkimo metu.

Netiesioginio asmens duomenų rinkimo atveju jūsų organizacija privalo pateikti informaciją ne vėliau kaip per vieną mėnesį nuo asmens duomenų gavimo. Šis ilgiausias vieno mėnesio laikotarpis gali būti sutrumpintas:

• jei asmens duomenys naudojami bendravimo su duomenų subjektu tikslu. Tokiu atveju privalote informuoti duomenų subjektą ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu;
• jei duomenys perduodami kitam gavėjui, organizacija apie tai informuoja duomenų subjektus ne vėliau kaip asmens duomenų perdavimo metu.

Daugiau informacijos:

• Gerbti asmenų teises