Administrator (czyli podmiot, który decyduje o celach i sposobach przetwarzania danych), może upoważnić do przetwarzania danych osobowych lub powierzyć innej organizacji dane osobowe do przetwarzania danych osobowych.
Upoważnienie do przetwarzania danych osobowych to akt prawny, na podstawie którego administrator danych osobowych udziela innym osobom lub podmiotom (np. swoim pracownikom, współpracownikom, zleceniobiorcom) zgody na wykonywanie określonych operacji na danych osobowych, np. zbieranie, przechowywanie, modyfikowanie, udostępnianie, usuwanie. Upoważnienie do przetwarzania danych osobowych powinno być nadane na piśmie (może być w formie elektronicznej) i powinno zawierać m.in. imię i nazwisko osoby upoważnionej, zakres i cel upoważnienia, okres ważności upoważnienia, podpis osoby upoważniającej.
Powierzenie przetwarzania danych osobowych to umowa (lub inny instrument prawny) zawarta na piśmie (może być w formie elektronicznej) pomiędzy administratorem danych osobowych a innym podmiotem (np. firmą zewnętrzną), na podstawie której ten drugi podmiot przetwarza dane osobowe w imieniu i na zlecenie administratora. Powierzenie przetwarzania danych osobowych może dotyczyć całego lub częściowego przetwarzania danych osobowych, np. przechowywania, archiwizowania, analizowania, niszczenia danych.
Umowa powierzenia przetwarzania danych osobowych powinna zawierać m.in. przedmiot i czas trwania umowy, zakres i cel przetwarzania danych, rodzaj danych i kategorie osób, których dane dotyczą, obowiązki i uprawnienia stron, środki techniczne i organizacyjne zapewniające bezpieczeństwo danych, warunki podpowierzenia danych, prawo do audytu, zasady usuwania danych po zakończeniu umowy.