Tyvärr är det inte möjligt att flytta ansvaret för behandlingen av personuppgifter till någon annan. Personuppgiftsansvaret och medföljande sanktionsansvar enligt art 83 ligger alltid på den personuppgiftsansvarige. Den personuppgiftsansvarige är normalt en juridisk person. Vem som är personuppgiftsansvarig avgörs av vem som bestämmer över ändamålen och medlen med behandlingen, se definitionen i art 4. Det kan ibland vara svårt att avgöra vem som ansvarar för behandlingen när flera företag och organisationer samarbetar om en behandling och ibland kan det vara lämpligt att ta hjälp för att reda ut förhållandena mellan dessa.

Med personuppgiftsansvaret följer även ett ansvar gentemot de registrerade, dvs. de personer som personuppgifterna tillhör.

Själva arbetsuppgifterna och därmed det interna ansvaret inom en organisation eller ett företag kan däremot delegeras till en fysisk person, t.ex. en system- eller informationsägare.