BDAR išskiriami du pagrindiniai vaidmenys: duomenų valdytojo ir duomenų tvarkytojo. Šis atskyrimas yra labai svarbus, nes duomenų valdytojui tenka didesnė atsakomybė ir jis turi įvykdyti daugiau įsipareigojimų nei duomenų tvarkytojas.

Duomenų valdytoju ir tvarkytoju gali būti fiziniai arba juridiniai asmenys, pavyzdžiui: MVĮ, valdžios institucija, įmonė, organizacija, valstybinė įstaiga, asociacija ir kt.

Duomenų valdytojas nustato duomenų tvarkymo operacijos tikslus ir priemones. Kitaip tariant, duomenų valdytojas nusprendžia, kaip ir kodėl atliekama duomenų tvarkymo operacija. Tuo tarpu duomenų tvarkytojai tvarko asmens duomenis duomenų valdytojo vardu. Duomenų tvarkytojų atliekamas duomenų tvarkymas turi būti reglamentuojamas sutartimi su duomenų valdytoju arba teisės aktu.

Duomenų valdytojų pavyzdžiai:

• įmonės, kurios tvarko savo klientų asmens duomenis, kad užbaigtų pardavimą;
• finansų įstaigos, kurios tvarko savo klientų asmens duomenis;
• asociacijos, kurios tvarko savo narių duomenis;
• mokyklos ar universitetai, tvarkantys studentų ir dėstytojų asmens duomenis;
• ligoninės, kurios tvarko savo pacientų asmens duomenis;
• valdžios institucijos, kurios tvarko piliečių asmens duomenis.

Duomenų tvarkytojų pavyzdžiai:

• MVĮ samdo buhalterinės apskaitos paslaugą savo knygoms ir įrašams saugoti, MVĮ yra duomenų valdytoja, o buhalterijos įmonė – duomenų tvarkytoja;
• darbo užmokesčio bendrovė tvarko MVĮ tvarkomus asmens duomenis. Darbo užmokesčio bendrovė veiks kaip duomenų tvarkytoja, jei ji asmens duomenis tvarkys tik MVĮ vardu. MVĮ nustato duomenų tvarkymo tikslus ir priemones, todėl yra duomenų valdytoja.
• MVĮ paveda rinkodaros įmonei rinkti el. pašto adresus trečiųjų šalių svetainėse.  Rinkodaros bendrovė tai daro vadovaudamasi aiškiais MVĮ nurodymais ir išimtinai MVĮ tikslais. Rinkodaros bendrovė veikia kaip šio rinkimo duomenų tvarkytoja.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

DAP gali būti esamas darbuotojas, turintis pakankamai žinių apie BDAR (jei darbuotojo profesinės užduotys yra suderinamos su DAP užduotimis ir dėl to nekyla interesų konfliktų) arba išorės asmuo. DAP turi sugebėti savarankiškai atlikti užduotis ir turėtų tiesiogiai atsiskaityti aukščiausiajai vadovybei.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Jei jūsų organizacija renka asmens duomenis tiesiogiai iš asmenų, ji turi pateikti reikiamą informaciją rinkimo metu.

Netiesioginio asmens duomenų rinkimo atveju jūsų organizacija privalo pateikti informaciją ne vėliau kaip per vieną mėnesį nuo asmens duomenų gavimo. Šis ilgiausias vieno mėnesio laikotarpis gali būti sutrumpintas:

• jei asmens duomenys naudojami bendravimo su duomenų subjektu tikslu. Tokiu atveju privalote informuoti duomenų subjektą ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu;
• jei duomenys perduodami kitam gavėjui, organizacija apie tai informuoja duomenų subjektus ne vėliau kaip asmens duomenų perdavimo metu.

Daugiau informacijos:

• Gerbti asmenų teises

Asmenys gali jūsų paklausti, ar tvarkote jų duomenis ir, jei taip, jie turi teisę susipažinti su tais duomenimis. Taigi, kai taip atsitinka ir jei tvarkote jų duomenis, turėtumėte, pavyzdžiui, nemokamai pateikti jų asmens duomenų kopiją kartu su bet kokia reikalinga papildoma informacija. Jei prašymas pateikiamas elektroniniu būdu, jūsų organizacija prašomą informaciją turėtų pateikti įprastai naudojamu elektroniniu formatu, išskyrus atvejus, kai asmuo paprašo kitaip.

Daugiau informacijos:

• Gerbti asmenų teises

Asmens duomenų saugumo pažeidimas yra saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, neteisėtai atskleidžiami asmens duomenys arba suteikiama prieiga prie jų.

• Jei duomenų saugumo pažeidimas kelia pavojų fiziniams asmenims, turite apie tai pranešti atitinkamai duomenų apsaugos institucijai per 72 valandas.
• Jei dėl pažeidimo gali kilti didelis pavojus fiziniams asmenims, apie tą pažeidimą taip pat turėsite nepagrįstai nedelsiant jiems pranešti.

Bet kuriuo atveju, visų pažeidimų, net ir tų, apie kuriuos nepranešta DAI, atveju turite užregistruoti bent pagrindinius pažeidimo duomenis, jo vertinimą, jo poveikį ir veiksmus, kurių imtasi reaguojant į jį.

Daugiau informacijos:

• Duomenų saugumo pažeidimai