Naast het opleggen van nieuwe eisen aan gegevensbeheerders legt de AVG voor het eerst verschillende gegevensbeschermingsverplichtingen op (dataprocessors omvatten elke natuurlijke persoon of rechtspersoon, overheid, agentschap of ander ‘lichaam’ dat persoonsgegevens verwerkt namens een data controller).

Het AVG eist bijvoorbeeld van de gegevensverwerker om een ​​adequaat beschermingsniveau te waarborgen voor persoonsgegevens die buiten de Europese Economische Ruimte worden overgedragen. Op dezelfde manier moeten gegevensverwerkers passende technische en organisatorische maatregelen treffen ter beveiliging van persoonsgegevens om onder meer bepaalde registers van hun persoonlijke gegevensverwerkingsactiviteiten op te zetten en te onderhouden. Organisaties die als gegevensverwerkers optreden ten behoeve van gegevenscontrollers – bijvoorbeeld contractonderzoeksorganisaties die optreden namens klinische proefpersonen – moeten ervoor zorgen dat zij voldoen aan alle relevante eisen van de AVG.