Duomenų tvarkytojai ir duomenų atskleidimas
Duomenų tvarkytojas - tai organizacija arba asmuo, kuris tvarko asmens duomenis duomenų valdytojo vardu. Terminas "duomenų tvarkytojas" neapima duomenų valdytojo įdarbinto asmens, kuris tvarko asmens duomenis vykdydamas darbo užduotis, bet reiškia įstaigą, kuriai asmens duomenų tvarkymas perduodamas. Duomenų tvarkytojas gali būti, pavyzdžiui, buhalteris, IT paslaugų teikėjas arba reklamos agentūra, kuri tvarko asmens duomenis kitos įmonės vardu. Duomenų tvarkytojas gali tvarkyti duomenis tik duomenų valdytojo nustatytais tikslais. Duomenų tvarkytojas negali pradėti naudoti duomenų valdytojo gautų asmens duomenų savo tikslams, nustatydamas naujus duomenų tvarkymo tikslus ir priemones.
Dėl duomenų tvarkymo veiklos perdavimo išorės paslaugų teikėjams visada turi būti susitarta rašytinėje sutartyje. Minimalus tokios sutarties turinys nustatytas BDAR. Be duomenų valdytojo leidimo sutvarkymo sutarties sudaryti negalima, o duomenų tvarkytojas už subtvarkytojo (dar vadinamas pagalbiniu tvarkytoju) veiksmus atsako kaip už savo veiksmus. Duomenų tvarkytojas visada turi:
laikytis taisyklių, susijusių su tarptautiniu duomenų perdavimu
įgyvendinti tinkamas technines ir organizacines saugumo priemones
sudaryti duomenų tvarkymo sutartį su duomenų valdytoju
padėti duomenų valdytojui įgyvendinti jo pareigas
bendradarbiauti su nacionaline priežiūros institucija
Duomenų valdytojas ir asmens duomenų tvarkytojas privalo dokumentuoti savo atliekamas duomenų tvarkymo užduotis. Duomenų tvarkytojui taip pat tenka atsakomybė už minėtų pareigų nesilaikymą, jis privalo įgyvendinti tinkamas apsaugos priemones ir organizacines priemones. Tai, pavyzdžiui, darbuotojų instruktavimas, savikontrolė, kaip naudojami duomenys, duomenų sistemų informacijos saugumo priemonės, taip pat kitos apsaugos priemonės, siekiant apsaugoti duomenis.
Asmens duomenų atskleidimas - tai asmens duomenų pateikimas trečiajai šaliai, kuri naudoja duomenis savo, o ne duomenų valdytojo vardu. Todėl asmens duomenų perdavimas išorės paslaugų teikėjams nėra apibrėžiamas kaip duomenų atskleidimas. Duomenų valdytojo teisė atskleisti asmens duomenis ne savo organizacijai priklausančioms šalims reglamentuojama BDAR. Prieš atskleisdamas asmens duomenis trečiosioms šalims, duomenų valdytojas turi įsitikinti, kad duomenų gavėjas turi teisinį pagrindą tvarkyti duomenis pagal BDAR.