Yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

Rekisterinpitäjä on tietosuoja-asetuksen mukaan vastuussa siitä, että se toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla varmistetaan ja käytännössä myös osoitetaan, että henkilötietojen käsittelyssä noudatetaan tietosuoja-asetuksen vaatimuksia.

Tietosuoja-asetuksen tullessa voimaan pelkkä vaatimuksenmukaisuus ei enää riitä, vaan rekisterinpitäjän on pystyttävä osoittamaan, miten se on varmistanut tietosuojavelvollisuuksien toteutumisen toiminnassaan tarvittavin teknisin, hallinnollisin ja organisatorisin toimenpitein. Tätä kutsutaan osoitusvelvollisuudeksi.

Tietotilinpäätös tietojenkäsittelyn nykytilasta

• Voidaan käyttää myös viestintämekanismina sidosryhmille

Lista tarvittavista konkreettisista teknisistä ja organisatorisista muutostoimenpiteistä ja niiden läpivienti

• Tietosuojaperiaatteiden huomionti
• Osoitusvelvollisuuden toteuttaminen
• Dokumentointi, sertifikaatit, käytännesäännöt
• rekisterinpitäjien ja henkilötietojen käsittelijöiden ylläpidettävä selostetta vastuullaan olevista käsittelytoimista

Tietosuojavastaava

• Konserni, samoin kuin useampi viranomainen tai julkishallinnon elin, voi tietyin edellytyksin nimittää vain yhden tietosuojavastaavan

Rekisterinpitäjä ja muut henkilötietojen käsittelijät

• Asetus säätää rekisterinpitäjän ja toimeksisaajan välisissä toimeksiantosopimuksissa erityisesti sovittavista seikoista