Dette ansvaret kan ikke settes ut eller på annen måte overlates til andre. Men det er fullt mulig å bruke tjenesteleverandører, som for eksempel leverer lønns- og datasystemer til bedriften. Slike tjenesteleverandører regnes som "databehandler". Det er egne krav til avtaler med databehandlere.

Du finner informasjon om og mal for databehandleravtale her

Alle behandlingsansvarlige plikter å gi en del informasjon til dem bedriften har personopplysninger om (de "registrerte"). Dette vil for eksempel gjelde de ansatte i bedriften, men også andre personer bedriften har personopplysninger om, som for eksempel kunder og leverandører. De registrerte skal få vite både at bedriften behandler opplysninger om dem og om de rettighetene de har. Bedriften må derfor ha et dokument (personvernerklæring e.l.) som beskriver hvilke typer av opplysninger bedriften har og hva de brukes til. Dette skal skrives på en ryddig og forståelig måte.

Vi har mer informasjon om personvernerklæring her

Det er videre et generelt krav til dokumentasjon av etterlevelsen av personvernreglene. NHO har derfor utarbeidet et personverktøy, som vil passe for de fleste bedrifter uten spesielle personvernproblemstillinger.  NHOs personvernverktøy inneholder blant annet et kartleggingsskjema og et personverndokument som inneholder mal for rutiner og internkontroll. Disse må tilpasses hver enkelt bedrift.