Duomenų tvarkytojas

Duomenų valdytojas turi realią galimybę nurodyti duomenų tvarkytojui jam perduodamų duomenų tvarkymo ribas: kokiais tikslais, kokia apimtimi, kiek ilgai juos tvarkyti, kokios apsaugos priemonės turi būti įdiegtos/naudojamos ir pan. Duomenų tvarkytojui tokie nurodymai yra privalomi ir jis neturi teisės tvarkyti jam patikėtų duomenų išeinant iš duomenų valdytojo nurodymo ribų (pavyzdžiui, savo tikslais). 

Tai vienas svarbiausių atribojimų kriterijų, nes reiškia ne tik galimybę teikti privalomus nurodymus, bet ir bet kada patikrinti, kaip jų laikomasi: pavyzdžiui, duomenų valdytojas gali audituoti buhalterinės apskaitos paslaugų įmonę, kuri tvarko jo darbuotojų duomenis, ir tokia įmonė neturi teisės kliudyti tai atlikti. 

Duomenų valdytojas gali veiklą, kurią perduoda duomenų tvarkytojui, atlikti pats. Kitaip tariant duomenų valdytojas turi realią galimybę pasirinkti, kas atliks konkrečius veiksmus: ar jo įmonės darbuotojas ar pasitelkti išorinius resursus (kitą juridinį/fizinį asmenį). 

Pavyzdžiui, darbdavys gali pasirinkti, ar pasitelkti / pasamdyti savo darbuotoją, kuris teiks buhalterinės apskaitos paslaugas, ar pasitelkti tokias paslaugas teikiantį kitą juridinį/fizinį asmenį. Tuo tarpu atsiskaitymų [pavedimu] duomenų valdytojas negali atlikti be banko ar kito analogiškas paslaugas teikiančio juridinio asmens pasitelkimo. 

Duomenų tvarkymas, paprastai, yra pagrindinė juridinio/fizinio asmens (duomenų tvarkytojo) veikla. Imant anksčiau pateiktą pavyzdį, buhalterinės apskaitos paslaugas teikianti įmonė gali būti duomenų tvarkytoju teikiant būtent buhalterinės apskaitos paslaugas ir tokių paslaugų teikimas nėra atsitiktinis. 

Šis požymis nėra absoliutus, nes, pavyzdžiui, debesų paslaugų teikėjas paprastai teikia ir kitas paslaugas, kurios gali būti ir nesusijusios su duomenų tvarkymu (pavyzdžiui, ugniasienių diegimas ir palaikymas), tad svarbu įvertinti, pirmiausia, atitiktį aukščiau nurodytiems kriterijams.