Toiminnan järjestäjän tulee ennen henkilötietojen käsittelyn aloittamista arvioida, missä asemassa se tulee käsittelemään tietoja. Järjestäjän rooli käsittelyssä vaikuttaa siihen, missä laajuudessa se on vastuussa käsittelystä sekä minkälaisia velvollisuuksia sen on toiminnassaan huomioitava. Toiminnan järjestäjä voi käsitellä tietoja rekisterinpitäjänä, yhteisrekisterinpitäjänä tai henkilötietojen käsittelijänä. Järjestäjän roolista on voitu säätää nimenomaisesti laissa esimerkiksi tiettyjen rekistereiden yhteydessä, jolloin järjestäjän asema perustuu suoraan lainsäädäntöön. Jos järjestäjän asemasta ei ole erikseen säädetty, rooli tulee arvioida ja määritellä järjestäjän tosiasiallisen aseman perusteella. Järjestäjä käsittelee henkilötietoja pääasiassa rekisterinpitäjän roolissa, mutta lopullinen arvio on aina tehtävä tapauskohtaisesti. Arvioinnissa kannattaa huomioida, ettei toiminnan järjestäjän tosiasiallisesta tietosuojaroolista voida poiketa sitovasti esimerkiksi sopimuksin.
Rekisterinpitäjä on se taho, joka vastaa suorittamastaan tai sen lukuun tehdystä henkilötietojen käsittelystä. Rekisterinpitäjällä tarkoitetaan henkilöä tai organisaatiota, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot, eli miksi ja miten henkilötietoja käsitellään. Toiminnan järjestäjä kerää oppijoiden ja heidän huoltajiensa henkilötietoja kasvatuksen, opetuksen ja koulutuksen järjestämiseen. Tietoja tarvitaan muun muassa oppijaa koskevassa päätöksenteossa ja kasvatuksen, opetuksen ja koulutuksen järjestämiseksi oppijalle. Tietoja tarvitaan myös muissa oppijaa koskevien päivittäisten asioiden kuten kuljetusten ja aterioiden järjestämiseksi ja tapaturmien hoitamiseksi. Järjestäjän voidaan katsoa pääsääntöisesti määrittävän henkilötietojen käsittelyn tarkoitukset ja keinot ja toimivan rekisterinpitäjänä, kun se käsittelee henkilötietoja kasvatuksen, opetuksen ja koulutuksen järjestämiseksi. Oppilas- ja opiskelijahuollon rekistereistä on määrätty erikseen oppilas- ja opiskelijahuoltolaissa (1287/2013).
Kunnassa rekisterinpitovastuu kuuluu kunnan kasvatuksesta, opetuksesta tai koulutuksesta vastaavalle toimielimelle. Rekisterinpitäjä ei voi siirtää sille kuuluvaa vastuuta toiselle taholle, mutta sille kuuluvia tehtäviä voidaan määrätä yksittäisten viranhaltijoiden hoidettavaksi esimerkiksi hallintosäännössä tai yksittäisillä delegointipäätöksillä. Tehtävät voivat koskea esimerkiksi tietosuojan ja tietoturvan järjestämiseen liittyviä yleisiä tehtäviä kuten ohjeiden antamista henkilökunnalle. Kunnalla säilyy kokonaisvastuu henkilötietojen käsittelystä myös varhaiskasvatuspalveluita ulkoistettaessa. Jos kunnassa järjestetään varhaiskasvatusta esimerkiksi ostopalveluna tai palvelusetelillä, kunta toimii pääsääntöisesti rekisterinpitäjänä ja yksityinen palveluntuottaja henkilötietojen käsittelijänä (ks. käsittelijän asemasta tarkemmin alla). Palvelusetelitoiminnassa on huomioitava myös sosiaali- ja terveydenhuollon palvelusetelistä annetun lain (569/2009) säännökset rekisterinpidosta. Yksityisessä varhaiskasvatuksessa sekä muun kuin kunnan itsensä järjestämässä aamu- ja iltapäivätoiminnassa palveluntuottaja toimii kuitenkin rekisterinpitäjänä sellaisen käsittelyn osalta, jota se ei suorita kunnan toimesta tai lukuun. Yksityisessä perusopetuksessa ja toisen asteen koulutuksessa rekisterinpitäjä on se rekisteröity yhteisö tai säätiö, jolle opetus- ja kulttuuriministeriö tai valtioneuvosto on myöntänyt luvan opetuksen tai koulutuksen järjestämiseen.
Yhteisrekisterinpitäjyydestä on kyse silloin, kun rekisterinpitäjä määrittelee käsittelyn tarkoitukset ja keinot yhdessä toisen tai useamman rekisterinpitäjän kanssa. Rekisterinpitäjien tulee tällöin määritellä keskenään läpinäkyvällä järjestelyllä kummankin osapuolen vastuualueet henkilötietojen käsittelyssä, erityisesti rekisteröityjen oikeuksien käytön ja rekisteröityjen informoinnin osalta. Järjestelystä tulisi käydä selvästi ilmi rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden ja tieto järjestelyn keskeisistä osista tulisi olla rekisteröidyn saatavilla. Määrittelyä ei tarvitse tehdä niiltä osin, jos asiasta on säädetty erikseen kansallisessa lainsäädännössä. Yhteisrekisterinpitoa koskevia kansallisia säännöksiä sisältyy muun muassa lakiin valtakunnallisista opinto- ja tutkintorekisteistä (884/2017) sekä varhaiskasvatuslakiin (540/2018) valtakunnallisten Koski- ja Varda-tietovarantojen osalta. Yhteisrekisterinpitäjät vastaavat suorittamastaan käsittelystä yhteisvastuullisesti. Vastuuta on käsitelty tarkemmin jäljempänä sivun lopussa.
Henkilötietojen käsittelijällä tarkoitetaan henkilöä tai organisaatiota, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijänä toimii tyypillisesti esimerkiksi IT-palveluiden tarjoaja, jolta järjestäjä on hankkinut oppilashallintojärjestelmän sekä siihen liittyvät tukipalvelut. Henkilötietojen käsittelijänä voi toimia myös esimerkiksi kuljetusyritys, jolta opetuksen järjestäjä hankkii kuljetuspalveluita koulukuljetusten järjestämiseksi. Henkilötietojen käsittelijällä ei tarkoiteta rekisterinpitäjän omaa henkilökuntaa (kuten päiväkodin johtajia, rehtoreita tai opettajia), jotka toteuttavat päivittäisessä työssään rekisterinpitäjän vastuulla olevia tehtäviä. Mikäli toiminnan järjestäjä aikoo siirtää henkilötietojen käsittelyä käsittelijälle, kyse on käsittelyn ulkoistamisesta. Rekisterinpitäjä vastaa lähtökohtaisesti sen lukuun tehdystä käsittelystä. Vastuuta on käsitelty tarkemmin jäljempänä sivun lopussa.