Andmetöötleja vastutus ja kohustused tulevad Euroopa Parlamendi ja nõukogu 2016. aastal vastu võetud kahest õigusaktist, mille eesmärki on anda inimesele parem kontroll isikuandmete üle ning kehtestada Euroopa Liidu siseselt sarnane õiguskord.
Andmetöötleja kui vastutav töötleja
Vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Seega, kui määrate ise kindlaks, miks ja kuidas tuleb isikuandmeid töödelda, on teie ettevõte või organisatsioon vastutav töötleja. Kõik organisatsioonis isikuandmeid töötlevad töötajad teevad seda vastutava töötleja ülesandel.
Andmetöötleja kui kaasvastutav töötleja
Kaasvastutav andmetöötleja määrab teise või mitmete organisatsioonidega koos ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Kaasvastutavad töötlejad peavad sõlmima omavahelise lepingu või tegema kokkuleppe, määrates kindlaks igaühe vastutusvaldkonnad isikuandmete kaitse üldmääruse nõuete täitmiseks. Kokkuleppe põhitingimused tuleb teha teatavaks isikutele, kelle andmeid töödeldakse.
Andmetöötleja kui volitatud andmetöötleja
Volitatud töötleja töötleb isikuandmeid ainult vastutava töötleja nimel. Volitatud töötleja on tavaliselt ettevõtteväline kolmas isik. Kontserni korral võib üks ettevõtja tegutseda volitatud töötlejana teise ettevõtja nimel. Volitatud töötleja kohustused vastutava töötleja ees tuleb määrata kindlaks lepinguga või muu õigusakti alusel. Volitatud töötleja tohib anda oma kohustusi osaliselt teisele töötlejale või määrata kaasvolitatud töötleja, kui ta on selleks varem saanud vastutava töötleja kirjaliku volituse.