Mindenkire, aki
vagyis mindenkire, aki személyes adatokat kezel (rögzít, gyűjt, tárol, használ, módosít vagy továbbít – őt adatkezelőnek nevezi a rendelet).
Akinek továbbításra kerül az adat, az az ún. adatfeldolgozó (pl. ha a weboldalon feliratkoznak a hírlevélre, megadják az email címüket – ez az adatkezelés, de az adatok egy hírlevélszolgáltató rendszerébe kerülnek – ez az adatfeldolgozás). A célt itt az adatkezelő határozza meg, ő dönti el mi történjen az adatokkal (milyen sorozatba kerülnek, milyen leveleket fognak kapni stb. a rendszer csak feldolgozza a kérésedet). Nem vonatkozik a rendelet azokra, akik vállalkozások adatait kezelik (pl. partnerlista, ügyféllista, amin cégek adatai vannak).
A rendeletben pontosításra került, hogy mi számít személyes adatnak, valamint kibővült a személyes adatok definíciója. Azaz a rendelet szerint személyes adat az az információ, amely alapján egy személy beazonosítható közvetlenül az adat tartalma alapján, vagy közvetett módon az adatot más adattal kiegészítve. (pl. a név, cím, telefonszám, online adatok és e-mail-cím, IP, cookie ID, stb.)
Megrendelés előtt a felhasználónak jeleznie kell, hogy hozzájárul a személyes adatok kezeléséhez. Továbbá biztosítani kell az adatok biztonságát, és az biztosítani kell az adatok törlésére való lehetőséget (csak a szükséges ideig kezelhető adat)
A hírlevél-feliratkozás úgy történhet jogszerűen, ha a feliratkozó megadja a nevét és e-mail címét, és külön aktív cselekedettel hozzájárul ezen adatai elektronikus direkt marketing üzenet küldési célú kezeléséhez. A lényeg, hogy a felhasználónak nyilatkoznia kell arról, hogy szabad akaratából, konkrét célra, tájékoztatást követően járult hozzá adatai megadásához. Ennek a követelménynek eleget tesz az, ha egy erre rendszeresített, megfelelő szöveggel ellátott checkboxot kell kipipálni, vagy egy megfelelő feliratú gombra kell rányomni. Fontos, hogy az adatkezelőnek bizonyítaniuk kell tudni, hogy ki, milyen adatkezeléshez járult hozzá.
Adatvédelmi tisztviselő (Data Protection Officer – DPO) kötelező kijelölése.
A rendelet egyértelműen leírja, hogy az alábbi három esetben mindenképpen szükséges kijelölni a tisztviselőt:
Az adatvédelmi tisztviselő szerepét belső alkalmazott vagy szerződéses partner is betöltheti, amennyiben az alkalmazott képesítése, valamint az adatvédelemről szóló jogi szabályozás és az azzal összefüggésben alkalmazott eljárások terén szerzett szakmai tudása arra alkalmassá teszik. Az adatvédelmi tisztviselő kötelessége, hogy a vállalat számára megfelelő szakmai tanácsadási szolgáltatást nyújtson, illetve hogy a vállalatot megfelelően képviselje az adatvédelmi hatóság felé.