Före behandlingen av personuppgifter ska anordnaren av verksamheten bedöma i vilken roll anordnaren kommer att behandla uppgifterna. Anordnarens roll inverkar på i vilken omfattning anordnaren har ansvar för behandlingen, samt vilka skyldigheter anordnaren ska beakta i behandlingen av personuppgifterna. Anordnaren av verksamheten kan behandla uppgifter i egenskap av personuppgiftsansvarig, gemensamt personuppgiftsansvarig eller personuppgiftsbiträde. Anordnarens roll kan uttryckligen stadgas i lag till exempel i anslutning till specifika register och anordnarens roll grundar sig då direkt på lagstiftningen. Om anordnarens roll inte har fastställts separat i lag, ska rollen bedömas och definieras utifrån anordnarens faktiska ställning vid behandlingen av personuppgifter. En anordnare behandlar i regel personuppgifter i egenskap av personuppgiftsansvarig, men den slutliga bedömningen ska alltid göras skilt för varje fall. I bedömningen ska det tas i beaktande att det inte är möjligt att till exempel förbinda sig vid att avvika från den faktiska dataskyddsrollen med avtal.
Personuppgiftsansvarig är den aktör som ansvarar för all behandling av personuppgifter som den utför eller som utförs på dennas vägnar. Med en personuppgiftsansvarig avses en person eller organisation som fastställer behandlingens ändamål och de medel med vilka behandlingen av personuppgifter utförs, det vill säga varför och hur personuppgifterna ska behandlas. Anordnaren av verksamheten samlar in personuppgifter om barnen, eleverna, de studerande och vårdnadshavarna för anordnandet av småbarnspedagogiken, undervisning och utbildningen. Uppgifterna behövs bland annat för att fatta olika beslut om ett barn, en elev eller en studerande och för att ordna verksamhet, undervisning och utbildning för dessa. Personuppgifterna behövs också för att sköta andra dagliga ärenden som berör barnet, eleven eller den studerande, till exempel för att ordna med transport och måltider samt vid olycksfall. Anordnaren kan i regel bestämma behandlingens ändamål och de medel med vilka den utförs och därmed fungera som personuppgiftsansvarig när anordnaren behandlar personuppgifter för att ordna småbarnspedagogiken, undervisningen och utbildningen. I lagen om elev- och studerandevård (1287/2013) stadgas separat om register inom elev- och studerandevården.
I kommunen hör ansvaret för att föra personuppgiftsregister till organet som ansvarar för småbarnspedagogik eller utbildning. En personuppgiftsansvarig kan inte överlåta ansvaret på en annan instans, men uppgifter som hör till den personuppgiftsansvariga kan åläggas att skötas av enskilda tjänsteinnehavare till exempel genom förvaltningsstadgan eller enskilda delegeringsbeslut. Uppgifterna kan till exempel gälla dataskydd och allmänna uppgifter vid ordnandet av datasäkerheten, såsom utarbetandet av anvisningar för personalen. Kommunen har det övergripande ansvaret för behandlingen av personuppgifter även då man köper tjänster inom småbarnspedagogik av en annan aktör. Om kommunen till exempel ordnar småbarnspedagogisk verksamhet som köptjänst eller med servicesedel, fungerar kommunen i regel som personuppgiftsansvarig och den privata serviceproducenten som personuppgiftsbiträde (läs mer om personuppgiftsbiträdets roll längre ner). I verksamhet som ordnas med servicesedel ska man också iaktta bestämmelserna om registerföring i lagen om servicesedlar inom social- och hälsovården (569/2009). Inom privat småbarnspedagogisk verksamhet och inom morgon- och eftermiddagsverksamhet som ordnas av någon annan aktör än kommunen själv, har den privata serviceproducenten ändå rollen som personuppgiftsansvarig i fråga om sådan behandling som inte utförs på uppdrag av kommunen eller på kommunens vägnar. Inom privat grundläggande utbildning och privat utbildning på andra stadiet innehas rollen som personuppgiftsansvarig av den registrerade sammanslutning eller stiftelse som undervisnings- och kulturministeriet eller statsrådet har beviljat tillstånd för att anordna utbildning.
Gemensamt personuppgiftsansvarig är man då man i egenskap av personuppgiftsansvarig fastställer ändamålen och medlen för behandlingen tillsammans med en eller flera personuppgiftsansvariga. De personuppgiftsansvariga ska då under öppna former fastställa sitt respektive ansvar vid behandlingen av personuppgifterna, särskilt vad gäller utövandet av de registrerades rättigheter och att informera de registrerade. Arrangemanget ska återspegla de gemensamt personuppgiftsansvarigas faktiska roller och förhållanden gentemot de registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade. De personuppgiftsansvariga ansvar behöver inte fastställas till de delar som separat föreskrivs i nationell lagstiftning. Nationella bestämmelser som berör gemensamt personuppgiftsansvariga ingår bland annat i lagen om nationell studie- och examensregister (884/2017) och i lagen om småbarnspedagogik (540/2018), till de delar som gäller de nationella informationsresurserna Koski och Varda. De gemensamt personuppgiftsansvariga ansvarar gemensamt för behandlingen av personuppgifter. Ansvaret för behandlingen av personuppgifter beskrivs närmare längre ner på sidan.
Med ett personuppgiftsbiträde avses en person eller organisation som behandlar personuppgifter för den personuppgiftsansvarigas räkning. Som personuppgiftsbiträde fungerar vanligtvis till exempel en IT-leverantör, som tillhandahåller anordnarens studieadministrativa system och därtill hörande stödtjänster. Som personuppgiftsbiträde kan också fungera exempel ett transportföretag, av vilket anordnaren anskaffar transporttjänster för att ordna skoltransport. Med personuppgiftsbiträden avses inte den personuppgiftsansvarigas egen personal (såsom daghemsföreståndare, rektorer eller lärare), som i sitt dagliga arbete sköter uppgifter som hör till den personuppgiftsansvarigas ansvar. Om anordnaren av verksamhet har för avsikt att överlåta behandlingen av personuppgifter på ett personuppgiftsbiträde, är det frågan om att kontraktera behandlingen. Utgångspunkten är att den personuppgiftsansvariga ansvarar för den behandling av personuppgifter som utförs för dess räkning. Ansvaret för behandlingen av personuppgifter beskrivs närmare längre ner på sidan.