Den nya dataskyddsförordningen gör skillnad på ansvarig och biträde. Den personuppgiftsansvarige är den organisation (tex företag) som bestämmer hur behandlingen ska gå till och för vilka ändamål uppgifter ska behandlad. Det är alltså inte en viss person, utan organisationen i sig. Kontaktuppgifter till den ansvarige ska finnas tillgängligt för den vars uppgifter behandlas.
Personuppgiftsbiträdet är en som kan behandla personuppgifter för den ansvarige räkning. Här talar vi om någon utanför den egna organisationen.
Biträdet ska enbart hantera personuppgifter enligt den ansvariges instruktioner och det är viktigt att även biträdet följer GDPR då denne har samma skyldigheter i de delar denne utför.