Rekisterinpitäjä voi ulkoistaa sille kuuluvia, henkilötietojen käsittelyyn liittyviä tehtäviä toiselle taholle. Kasvatuksessa, opetuksessa ja koulutuksessa kysymys tulee yleensä arvioitavaksi muun muassa erilaisten tietojärjestelmien, ICT-palveluiden sekä oppimispelien ja -sovellusten hankintojen yhteydessä. Toiminnan järjestäjä on voinut esimerkiksi hankkia käyttöönsä sähköisen oppimisympäristön tai oppimateriaaleja, joiden käyttö edellyttää toimittajalta oppijoiden henkilötietojen käsittelyä järjestäjän lukuun käyttäjätunnusten laatimiseksi ja palvelun käyttämiseksi. Tilanteessa, jossa toimittaja käsittelee henkilötietoja järjestäjän lukuun, toimittajaa pidetään henkilötietojen käsittelijänä.
Järjestäjän tulee rekisterinpitäjänä varmistua siitä, että kaikki henkilötietojen käsittelyä koskevat velvoitteet voidaan hoitaa myös silloin, kun käsittelijä käsittelee henkilötietoja sen lukuun. Siten esimerkiksi tekniset ja organisatoriset suojatoimet, oletusarvoinen ja sisäänrakennettu tietosuoja, käsittelyn turvallisuus, tietosuojaperiaatteet ja käsittelyperusteet sekä rekisteröidyn oikeudet on huomioitava asianmukaisesti ulkoistamisen yhteydessä. Tietosuoja-asetuksessa on säädetty nimenomaisesti, että rekisterinpitäjä voi ulkoistaa käsittelyä vain sellaisille käsittelijöille, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi. Henkilötietojen käsittelijän on lisäksi varmistettava, että sen alaisuudessa toimivat henkilöt, joilla on pääsy tietoihin, käsittelevät tietoja vain järjestäjän ohjeiden mukaisesti, ellei laissa ole toisin säädetty. Myös henkilötietojen käsittelijän mahdollisuuksia alihankkijoiden käyttöön on rajoitettu.
Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman järjestäjän erityistä tai yleistä kirjallista ennakkolupaa. Jos henkilötietojen käsittelijä on pyytänyt luvan kirjallisena etukäteen, sen on tiedotettava järjestäjää kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista ja annettava järjestäjälle mahdollisuus vastustaa tällaisia muutoksia. Jos henkilötietojen käsittelijä käyttää alihankkijoita käsittelyssä, alihankkijoiden käsittelyyn sovelletaan samoja periaatteita kuin mitä käsittelystä on sovittu järjestäjän ja henkilötietojen käsittelijän välillä. Henkilötietojen käsittelijällä on lisäksi velvollisuus ylläpitää selostetta niistä käsittelytoimista, joita se suorittaa järjestäjän lukuun.
Rekisterinpitäjän ja henkilötietojen käsittelijän on sovittava henkilötietojen käsittelystä kirjallisesti sopimuksella tai muulla oikeudellisesti pätevällä asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään. Hankintojen yhteydessä sopimus tehdään yleensä kirjallisesti tai muutoin pätevässä sähköisessä asiakirjamuodossa allekirjoituksineen. Kilpailutusvelvoitteen ulkopuolelle jäävissä hankinnoissa sopimus voi syntyä myös järjestäjän hyväksyessä palvelun käyttöehtoja ja tietosuojakäytäntöjä koskevat asiakirjat. Sopimukselle (tai muulle oikeudellisesti sitovalle asiakirjalle) on asetettu tietosuoja-asetuksessa pakollinen vähimmäissisältö, jonka on käytävä ilmi sopimuksesta sen muodosta riippumatta. Järjestäjän on siten tarvittaessa tarkistettava käytössään olevien sopimuspohjien tai sille tarjottujen asiakirjojen sisältö ja lainmukaisuus.