Podmiot przetwarzający to podmiot, który przetwarza dane osobowe w imieniu i na zlecenie innego podmiotu. Podmiot przetwarzający nie decyduje o celach i środkach przetwarzanych danych – działa na podstawie umowy powierzenia przetwarzania danych osobowych zawartej z administratorem danych.

Administrator może korzystać wyłącznie z usług podmiotu przetwarzającego oferującego wystarczające gwarancje bezpieczeństwa danych osobowych.

Podmiot przetwarzający jest zewnętrznym podmiotem, który w imieniu administratora wykonuje operacje na danych osobowych, np. firma hostingowa, biuro księgowe, podmioty świadczące usługi techniczne – rozwijanie i utrzymanie systemów informatycznych i serwisów internetowych.

(Inaczej wygląda sytuacja w organizacji, gdzie dane osobowe przetwarzają pracownicy lub współpracownicy administratora lub podmiotu przetwarzającego dane. Z takimi osobami administrator danych nie zawiera umowy powierzenia przetwarzania, ale administrator powinien upoważnić je do przetwarzania danych osobowych, zgodnie z art. 4 pkt. 7 i 8 RODO).