Ο Υπεύθυνος Επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο που καθορίζει γιατί και πώς θα γίνει η επεξεργασία. Για παράδειγμα, ένα πανεπιστήμιο ή μια βιβλιοθήκη είναι υπεύθυνος επεξεργασίας για τα δεδομένα των χρηστών του. Ο Εκτελών την Επεξεργασία είναι αυτός που επεξεργάζεται τα δεδομένα για λογαριασμό του υπεύθυνου, όπως μια εταιρεία φιλοξενίας cloud ή μια πλατφόρμα τηλεκπαίδευσης. Η σχέση τους πρέπει να ορίζεται με γραπτή σύμβαση, που προβλέπει τα δικαιώματα και τις υποχρεώσεις κάθε μέρους. Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) είναι πρόσωπο που ορίζει ο φορέας για να παρακολουθεί τη συμμόρφωση, να συμβουλεύει το προσωπικό και να λειτουργεί ως σημείο επαφής με την ΑΠΔΠΧ. Και οι τρεις αυτοί ρόλοι έχουν υποχρέωση να εξασφαλίζουν την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των δεδομένων. 

Στον ΓΚΠΔ προτείνονται τα ακόλουθα «ενδεδειγμένα» τεχνικά και οργανωτικά μέτρα ασφάλειας:

1. Ψευδωνυμοποίηση και Κρυπτογράφηση.
2. Διασφάλιση Απορρήτου, Ακεραιότητας, Διαθεσιμότητας και Αξιοπιστίας.
3. Αποκατάσταση Διαθεσιμότητας και της πρόσβασης σε περίπτωση συμβάντος.
4. Δοκιμή, εκτίμηση και διαρκής αξιολόγηση της αποτελεσματικότητας των μέτρων.
5. Χρήση εγκεκριμένου κώδικα δεοντολογίας ή μηχανισμού πιστοποίησης για την απόδειξη της συμμόρφωσης.
6. Διαδικασίες χειρισμού περιστατικών παραβίασης.