Det finns en personuppgiftsansvarig (som bär huvudansvaret) och sedan personaluppgiftsbiträde (som utför hanteringen av uppgifterna i enlighet med de riktlinjer som personuppgiftsansvarig satt upp).
En viktig del i detta är att upprätta ett biträdesavtal, de gånger någon behandlar personuppgifter för någon annans räkning (t.ex. i konsultbolag). Detta avtal beskriver då vad biträdet åtar sig:
- Behandla personuppgifter enligt riktlinjer från den personuppgiftsansvarige.
- Se till att de som behandlar personuppgifter har tystnadsplikt.
- Hålla en stark säkerhetsnivå på behandlingen,
- Se till så att personuppgiftsansvarige kan hjälpa en enskilds förfrågan (ex. ändra, radera),
- Rapportera vid risk för intrång,
- Radera alla uppgifter vid avslut på uppdraget,
- Rapportera till personuppgiftsansvarige om hur arbetet utförts och hur uppgifterna blivit hanterade så att huvudansvarig vet att lagen följs enligt de regler som finns.
När GDPR träder i kraft har alla individuella medborgare ökad rättighet till sina egna personuppgifter. Allt ifrån vad 
som lagras, till hur och varför.
Det är därför det är så viktigt att det finns ett samtycke så fort en organisation tänker samla in någon sorts personlig information.
Förutom att ha kontroll på att alla personuppgifter är aktuella är det viktigt att uppgifterna hanteras, samt skyddas, på rätt sätt.
Det innebär att inga uppgifter får hanteras i löpande text, de får alltså inte förekomma i t.ex. e-post. Det får heller inte ligga öppet eller oskyddad så att obehöriga personer kommer åt dem.
Skulle det finnas anledning till att personaluppgifterna inte längre behövs ska dessa raderas omgående (om det inte finns rättsliga krav på att de ska behållas, t.ex. vid redovisning).
Alla uppgifter ska då raderas på ett skyddat sätt vilket innebär att de ska förstöras på ett sådant sätt så att obehöriga ej kan få tillgång till dem – papper från pärmar ska därför förstöras i en dokumentförstörare eller slängas i en speciell soptunna med lås.
Är det istället digitala kopior ska dessa raderas på ett sådant sätt så att det ej går att återställa dem, desamma gäller t.ex. USB-minnen eller andra enheter. Kan de inte digitalt tömmas på ett säkert sätt ska hela enheten förstöras.