U Općoj uredbi o zaštiti podataka razlikuju se dvije glavne uloge: one voditelja obrade i izvršitelja obrade. Ta je razlika ključna jer voditelj obrade podataka snosi veću odgovornost i mora ispunjavati više obveza od izvršitelja obrade.

Voditelji obrade i izvršitelji obrade mogu biti fizičke ili pravne osobe, na primjer: malo i srednje poduzeće, javno tijelo, poduzeće, organizacija, državno tijelo, udruga itd.

Voditelj obrade određuje svrhe i sredstva postupka obrade. Drugim riječima, voditelj obrade odlučuje kako i zašto provoditi obradu. Budući da izvršitelji obrade obrađuju osobne podatke u ime voditelja obrade, obrada koju provode izvršitelji obrade mora biti uređena ugovorom s voditeljem obrade ili drugim pravnim aktom.

Primjeri voditelja obrade podataka:

• društva koja obrađuju osobne podatke svojih klijenata kako bi dovršila prodaju;
• financijske institucije koje obrađuju osobne podatke svojih klijenata;
• udruge koje obrađuju podatke svojih članova;
• škole ili sveučilišta koja obrađuju osobne podatke studenata i nastavnika;
• bolnice koje obrađuju osobne podatke svojih pacijenata;
• vladine agencije koje obrađuju osobne podatke građana.

Primjeri izvršitelja obrade podataka:

• malo i srednje poduzeće angažira knjigovodstveni servis za vođenje svojih knjiga i evidencije, malo i srednje poduzeće je voditelj obrade, a knjigovodstveni servis izvršitelj obračun;
• knjigovodstveni servis radiobračun plaća te obrađuje osobne podatke za mala i srednja poduzeća. Knjigovodstveni servisdjelovat će kao izvršitelj obrade ako obrađuje osobne podatke isključivo u ime malih i srednjih poduzeća. Malo i srednje poduzeće određuje svrhe i sredstva obrade podataka te je stoga voditelj obrade.
• Mala i srednja poduzeća naručuju usluge marketinškog društva za prikupljanje adresa e-pošte putem internetskih stranica trećih strana.  Marketinško društvo to čini u skladu s izričitim uputama malog i srednjeg poduzeća i isključivo za potrebe malog i srednjeg poduzeća. Marketinško društvo djeluje kao izvršitelj obrade za navedenu radnju.

Više informacija:

• Voditelj obrade ili izvšitelj obrade

Službenik za zaštitu podataka može biti postojeći zaposlenik s dostatnim znanjem o Općoj uredbi o zaštiti podataka (ako su profesionalni zadaci zaposlenika kompatibilni sa zadaćama službenika za zaštitu podataka i to ne dovodi do sukoba interesa) ili vanjska osoba. Službenik za zaštitu podataka trebao bi moći neovisno obavljati zadaće i trebao bi moći izravno izvješćivati najviše rukovodstvo.

Više informacija:

• Službenik za zaštitu podataka

Ako vaša organizacija prikuplja osobne podatke izravno od pojedinaca, mora pružiti potrebne informacije u trenutku prikupljanja.

U slučaju neizravnog prikupljanja osobnih podataka, vaša organizacija mora pružiti informacije najkasnije u roku od mjesec dana od prvotnog prikupljanja osobnih podataka. To najdulje razdoblje od mjesec dana može se skratiti:

• ako se osobni podaci koriste u svrhu komunikacije s ispitanikom. U tom slučaju morate obavijestiti ispitanika najkasnije u trenutku prve obavijesti ispitaniku;
• ako se podaci prenose drugom primatelju, organizacija o tome obavješćuje ispitanike najkasnije prilikom prijenosa osobnih podataka.

Više informacija:

• Poštuj prava pojedinaca

Pojedinci vas mogu pitati obrađujete li njihove podatke te imaju pravo na pristup tim podacima. Dakle, kada se to dogodi i ako obrađujete njihove podatke, trebali biste, na primjer, besplatno dostaviti kopiju njihovih osobnih podataka zajedno sa svim potrebnim dodatnim informacijama. Ako je zahtjev podnesen elektroničkim putem, vaša bi organizacija trebala dostaviti tražene informacije u uobičajenom elektroničkom obliku, osim ako pojedinac zatraži drukčije.

Više informacija:

• Poštovanje prava pojedinaca

Povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima.

• Ako povreda podataka predstavlja rizik za dotične pojedince, morate je prijaviti nadležnom nadzornom tijelu za zaštitu podataka u roku od 72 sata.
• Ako je vjerojatno da će povreda prouzročiti visok rizik za pojedince, o tome ćete morati obavijestiti i pojedince na koje se to odnosi bez nepotrebnog odgađanja.

U svakom slučaju, za sva kršenja – čak i ona koja nisu prijavljena nadzornom tijelu za zaštitu podataka – morate zabilježiti barem osnovne pojedinosti o povredi, procjenu povrede, njezine učinke i mjere poduzete kao odgovor.

Više informacija:

• Povrede podataka

Ugovorom između voditelja obrade podataka i izvršitelja obrade mora se utvrditi da izvršitelj obrade:

• obrađuje osobne podatke samo prema uputama voditelja obrade, među ostalim u pogledu prijenosa osobnih podataka u zemlju izvan EGP-a;
• osigurava da su se osobe ovlaštene za obradu podataka obvezale na poštovanje povjerljivosti ili da podliježu odgovarajućoj zakonskoj obvezi povjerljivosti;
• osigurava sigurnost obrade;
• ne smije angažirati drugog izvršitelja obrade podataka bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade;
• pomaže voditelju obrade u ispunjavanju obveza voditelja obrade da odgovori na zahtjeve pojedinca za ostvarivanjem njihovih prava;
• pomaže voditelju obrade osigurati sigurnost obrade, obavješćivanje o povredama podataka i izvršavanju procjene učinka na zaštitu podataka;
• po izboru voditelja obrade, briše ili vraća sve osobne podatke voditelju obrade nakon završetka pružanja usluga;
• voditelju obrade podataka stavlja na raspolaganje sve potrebne informacije za dokazivanje usklađenosti s obvezama iz Opće uredbe o zaštiti podataka;
• omogućuje i doprinosi revizijama, uključujući inspekcije koje provodi voditelj obrade p ili drugi revizor kojeg je ovlastio voditelj obrade.

Osim toga, izvršitelj obrade odmah obavješćuje voditelja obrade ako, prema njegovu mišljenju, dane upute krše Opću uredbu o zaštiti podataka ili druge odredbe EU-a ili nacionalne odredbe o zaštiti podataka.

Više informacija:

• Voditelj obrade ili izvšitelj obrade

Općom uredbom o zaštiti podataka uspostavlja se usklađeni skup pravila koja se primjenjuju na sve obrade osobnih podataka od strane organizacija (javnih ili privatnih, bez obzira na njihovu veličinu) s poslovnim nastanom u Europskom gospodarskom prostoru (EGP) ili usmjerenih na pojedince unutar tog prostora. Glavni je cilj Opće uredbe o zaštiti podataka osigurati da osobni podaci uživaju isti visoki standard zaštite svugdje u EGP-u, čime se povećava pravna sigurnost za pojedince i organizacije koje obrađuju podatke te pruža visok stupanj zaštite pojedinaca.

Uredba je stupila na snagu 24. svibnja 2016. i primjenjuje se od 25. svibnja 2018.

Pseudonimizacija se sastoji od transformacije osobnih podataka tako da se više ne mogu pripisati određenom pojedincu bez upotrebe dodatnih informacija, pod uvjetom da se takve dodatne informacije čuvaju odvojeno i da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne pripisuju pojedincu. U praksi to može značiti zamjenu osobnih podataka (ime, osobni broj, telefonski broj itd.) u skupu podataka s neizravno identificirajućim podacima (alias, šifra itd.). Pseudonimizirani podaci i dalje su osobni podaci i podliježu primjeni Opće uredbe o zaštiti podataka.

Anonimizirani podaci su podaci koji su anonimizirani na takav način da se pojedinac ne može ili više ne može identificirati na bilo koji način za koji je razumno vjerojatno da će se koristiti. Kada se anonimizacija pravilno provodi, Opća uredba o zaštiti podataka se više ne primjenjuje.

Više informacija:

• Zaštičeni osobni podaci

Neke vrste osobnih podataka pripadaju posebnim kategorijama osobnih podataka, što znači da zaslužuju veću zaštitu, tzv. osjetljivi podatke. Osjetljivi podaci uključuju podatke koji otkrivaju informacije o:

• zdravlju pojedinca;
• seksualnoj orijentaciji pojedinca;
• rasnom ili etničkom podrijetlu pojedinca;
• političkim mišljenja, vjerskim ili filozofskim uvjerenjima pojedinca; članstvu u sindikatu pojedinca;
• biometrijski podaci u svrhu jedinstvene identifikacije pojedinca i genetski podaci pojedinca.

Obrada takvih podataka pojedinca općenito je zabranjena, osim u posebnim okolnostima koje opravdavaju njihovu obradu.

Više informacija:

• Osnove zaštite podataka