Обработку персональных данных может осуществлять как публичное учреждение, так и юридическое или физлицо (иногда его называют «процессором»), которое работает с данными пользователей на основании предпринимательской или профессиональной деятельности, а не в личных целях (это справедливо, например, для аудиторов, юристов и других экспертов).
Обрабатывать данные можно самостоятельно или через уполномоченное лицо — им тоже может быть любое физическое или юрлицо, действующее в интересах процессора. Например, вы решили информировать клиентов о новой услуге с помощью SMS-сообщений и наняли для этого подрядчика — он и будет вашим уполномоченным лицом. Обрабатывать данные он будет на основании правового акта или письменного договора, заключенного с вами, — в документе прописывают объем передаваемых и обрабатываемых данных и риски распределения ответственности.
Уполномоченное лицо (например, подрядчик) и обрабатывающее лицо (организация, бизнес, ИП) должны составлять каталог файловых систем, он регистрируется в
реестре защиты персональных данных. Перед созданием системы или внесением изменений в нее уполномоченное лицо и процессор обязаны предоставить информацию в Службу защиты персональных данных — этот орган осуществляет контроль за законностью обработки данных на территории Грузии.