Podmiot przetwarzający dane osobowe to innymi słowy Procesor. Nazewnictwo utarło się w literaturze prawniczej i nie brało swej podstawy z dotychczasowej ustawy o ochronie danych osobowych. Na gruncie RODO kwestia ta się zmieniła. Definicja Podmiotu przetwarzającego dane została zawarta w art. 4 pkt. 8 Rozporządzenia. Zgodnie z jej treścią podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Warto wskazać, że na gruncie RODO umowa dotycząca powierzenia przetwarzania danych może być zawarta w formie pisemnej, w tym w formie elektronicznej. Podmiot, któremu powierzono przetwarzanie wykonując operacje na danych osobowych może je wykorzystywać do celów administratora tych danych. Innymi słowy przetwarzanie danych przez Procesora nie może być wykorzystywane do jego celów własnych. Kolejnym ograniczeniem w stosunku do przetwarzania danych przez Procesora jest możliwość przetwarzania powierzonych danych może odbywać się tylko na podstawie polecenia administratora danych, które musi być udokumentowane. Zwrócić uwagę należy również na to, że na gruncie RODO Procesor będzie mógł podpowierzać przetwarzanie danych osobowych innym podmiotom na podstawie pisemnej zgody administratora, dotychczas kwestie związane z podpowierzaniem danych osobowych przez Procesora stanowiły treść umowy powierzenia przetwarzania danych osobowych i strony mogły swobodnie określić zasady z tym związane. Dzięki temu strona powierzająca przetwarzanie danych na gruncie RODO będzie mogła realnie ustalić podmioty, które uczestniczą w przetwarzaniu danych, których jest administratorem. Istotne jest zwrócenie uwagi na to, że Procesor danych jest odpowiedzialny za właściwy poziom bezpieczeństwa danych osobowych stosowany przez podmiot, na rzecz którego dokonano podpowierzenia przetwarzania danych. Dodatkowo Procesor zobowiązany jest do wspierania administratora w zakresie wykonywania praw osób, których przetwarzane dane dotyczą. Ważne jest również to, że Procesor ma podstawę do przetwarzania danych administratora tylko w okresie trwania umowy powierzenia przetwarzania. Najpóźniej z zakończeniem stosunku prawnego dającego podstawę do przetwarzania danych osobowych Procesor będzie musiał w zależności od woli administratora usunąć lub zwrócić powierzone mu dane.