„Voditelji obrade” osobnih podataka mogu biti fizičke ili pravne osobe, mikro, mali, srednji podzetnici, obrtnici, tijela javne vlasti, organizacije koja samostalno ili zajedno s drugima upotrebljavaju (obrađuju) osobne podatke u određene svrhe.

U Općoj uredbi o zaštiti podataka snažno se naglašava „pouzdanost” voditelja obrade. Voditelji obrade moraju donijeti politike i provesti odgovarajuće mjere kako bi osigurale sigurnost podataka; biti u mogućnosti dokazati da je obrada osobnih podataka u skladu sa zakonom; osigurati da se podaci obrađuju zakonito, ispravno i transparentno.

GDPR daje voditeljima obrade mogućnost da donose odluke u vezi s obradom osobnih podataka te su pravno odgovorni za poštovanje obveza utvrđenih u propisima o zaštiti osobnih podataka.

Voditelji obrade mogu samostalno odlučivati o metodama, jamstvima i ograničenjima obrade osobnih podataka, primjenjujući načela GDPR-a. Prije svega načelo „zadane i integrirane zaštite podataka”, tj. potreba da se u skladu s GDPR-om konfigurira integrirana obrada podataka (npr. primjenom psedonimizacije i smanjenja količine podataka) i zadane postavke (npr. utvrđivanje razdoblja zadržavanja podataka i kome oni mogu biti dostupni) kako bi se zaštitila prava ispitanika, uzimajući u obzir opći kontekst u kojem se obrada provodi i rizike za prava i slobode ispitanika.

Voditelj obrade također mora obavijestiti nadzorno tijelo (u HR to je Croatian Data Protection Authority-Agencija za zaštitu osobnih podataka) o povredama osobnih podataka u roku od 72 sata i „bez nepotrebnog odgađanja”, ali samo ako smatra vjerojatnim da će povreda dovesti do rizika za prava i slobode ispitanika.

Više u vodiču o osnovama zaštite podataka: https://arc-rec-project.eu/wp-content/uploads/2021/03/Osnove-zastite-podataka.pdf 

i Smjernicama za male i srednje poduzetnike: https://arc-rec-project.eu/wp-content/uploads/2022/07/ARC-GDPR-Smjernice-za-mikro-male-i-srednje-poduzetnike-.pdf