Definice zpracovatele se ve své podstatě moc neliší od té předchozí, kterou obsahoval zákon o ochraně osobních údajů (č. 101/2000 Sb.).

Klíčovou postavou při zpracování osobních údajů je správce, což je jakýkoli subjekt, který určuje účely a prostředky zpracování osobních údajů nebo mu tyto účely stanoví právní předpis (např. každý zaměstnavatel je správcem osobních údajů zpracovávaných pro účely mzdové agendy). Správce má také primární odpovědnost za veškeré zpracování.

Zpracovatelem je pak jakýkoli subjekt, který zpracovává osobní údaje pro správce. Zpracovatel může osobní údaje zpracovávat pouze na pokyn správce a zpravidla podle podmínek sjednaných ve smlouvě o zpracování osobních údajů. Klasickým případem zpracovatele je externí účetní firma, která vede pro zaměstnavatele mzdovou agendu.

Povinností správce je vybrat si pouze takové zpracovatele, kteří poskytnou dostatečné záruky o tom, že jejich zpracování bude v souladu s GDPR. Konkrétní podmínky pro zpracování osobních údajů bude obsahovat smlouva o zpracování osobních údajů, která musí být uzavřena písemně (včetně prosté elektronické formy) a musí obsahovat následující náležitosti:

• předmět (kategorie osobních údajů) a doba zpracování (doba určitá i neurčitá)
• povaha a účel zpracování
• typ osobních údajů (např. zvláštní kategorie osobních údajů)
• kategorie subjektů údajů
• povinnosti a práva správce
• zpracování osobních údajů na základě doložených pokynů správce
• zajištění, aby byly osoby zpracovávající osobní údaje zavázány povinností mlčenlivosti
• přijetí bezpečnostních opatření zpracovatelem (např. pseudonymizace a šifrování osobních údajů)
• podmínky zapojení dalšího zpracovatele (subdodavatele)
• součinnost zpracovatele při uspokojování práv subjektů údajů
• součinnost zpracovatele při zajištění plnění povinností správce (např. ohlašování bezpečnostních incidentů Úřadu pro ochranu osobních údajů a subjektům údajů)
• v případě ukončení spolupráce výmaz nebo vrácení údajů správci dle rozhodnutí správce
• umožnění auditů a inspekcí správcem nebo jím pověřeným auditorem.

Vzhledem k tomu, že smlouva o zpracování osobních údajů podle GDPR musí obsahovat řadu nových náležitostí, je nutné všechny smlouvy uzavřené podle zákona o ochraně osobních údajů dodatkovat, aby byly v souladu s GDPR.