1. Procesor przetwarza wyłącznie na polecenie administratora
Procesor nie jest więc „właścicielem" danych. Regulacja ta dotyczy również przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający (w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny).
2. Informowanie i zgoda administratora danych na skorzystanie z dalszego powierzenia danych do przetwarzania osobie trzeciej
Zgodnie z treścią Rozporządzenia, jeżeli podmiot przetwarzający zamierza korzystać z pomocy podwykonawców przy przetwarzaniu powierzonych mu danych osobowych to musi on za każdym razem, poinformować o tym administratora danych i uzyskać jego zgodę. Innym rozwiązaniem może być też ustalenie już w umowie z administratorem danych, że zgadza się on (wyraża zgodę) na to, by Procesor korzystał z usług innych podmiotów, w tym wypadku podwykonawców. Taki zapis będzie ważny tylko wtedy, gdy administrator danych będzie o tym informowany z wyprzedzeniem, po to by miał możliwość ewentualnego sprzeciwu, co do skorzystania z pomocy konkretnego podwykonawcy.
3. Obowiązkowe wyznaczenie przedstawiciela
W przypadku, gdy procesor nie posiada jednostki organizacyjnej w Unii Europejskiej, która przetwarza dane osobowe osób, których dane dotyczą, znajdujących się w Unii Europejskiej, a jego czynności przetwarzania wiążą się głównie z oferowaniem towarów lub usług tym osobom lub z monitorowaniem ich zachowania, to zgodnie z RODO, taki podmiot przetwarzający powinien wyznaczyć swojego przedstawiciela. Obowiązek ten nie ma zastosowania, gdy przetwarzanie ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, ani przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Musi nadto istnieć małe prawdopodobieństwo, aby ze względu na swój charakter, kontekst, zakres i cele, przetwarzanie powodowało ryzyko naruszenia praw lub wolności osób fizycznych. Regulacja ta odnosi się zarówno do administratora, jak i podmiotu przetwarzającego.
4. Pomoc dla administratora
Podmiot przetwarzający pomaga administratorowi, przez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw na przykład: sprostowania, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych. W razie potrzeby i na żądanie administratora podmiot przetwarzający powinien pomagać w zapewnieniu przestrzegania obowiązków wynikających z dokonania oceny skutków przetwarzania dla ochrony danych.
5. Wyznaczenie inspektora danych osobowych
Zgodnie z art. 37 RODO, w niektórych przypadkach wyznaczenie IDO jest obligatoryjne, zarówno dla administratora jak i Procesora. Mogą jednak wystąpić sytuacje, kiedy administrator nie będzie zobowiązany do wyznaczenia DPO, natomiast obowiązek taki będzie ciążył na podmiocie przetwarzającym. Unijna Grupa Robocza art. 29 udzielająca opinii w ważnych sprawach dotyczących ochrony danych osobowych, opisuje sytuację, w której mała, rodzinna firma dystrybuuje artykuły gospodarstwa domowego na terenie jednego miasta. Rodzina korzysta z usług Procesora, którego podstawowa działalność polega na świadczeniu usług analityki internetowej i pomocy w ukierunkowanej reklamie i marketingu. Działalność firmy rodzinnej, biorąc pod uwagę niewielką liczbę klientów i stosunkowo ograniczone działania, nie spowoduje obowiązku wyznaczania IDO. Jednakże działania podmiotu przetwarzającego, posiadającego wielu klientów takich jak to małe przedsiębiorstwo, kwalifikuje się jako przetwarzanie „na dużą skalę". W związku z tym podmiot przetwarzający, w przeciwieństwie do lokalnego przedsiębiorstwa, zobowiązany będzie do wyznaczenia inspektora ochrony danych.
6. Współpraca z organem nadzoru
Zarówno administrator jak i podmiot przetwarzający, mają obowiązek współpracować z organem nadzorczym w ramach wykonywania swoich zadań. Rozporządzenie nie formułuje jednak żadnych konkretnych przykładów tej współpracy. Wiązać się to może na przykład z wglądem w dokumenty, czy składaniem stosownych wyjaśnień. Oprócz tego, w sprawach dotyczących transgranicznego przetwarzania danych Procesor ma obowiązek komunikować się jedynie z wiodącym organem nadzorczym, wybranym przez administratora.
