Behandlingsansvarlig

Behandlingsansvarlig er vedkommende virksomhet (eller enkeltperson) som bestemmer hva som skal skje med personopplysningene (hva opplysningene skal brukes til og hvilke tekniske hjelpemidler som skal anvendes i behandlingen av dem). Den behandlingsansvarlige skal sørge for at bruken av personopplysninger skjer på en måte som (i) er i samsvar med reglene i GDPR og (ii) ikke krenker de registrertes personvern. 
Universiteter og høyskoler er behandlingsansvarlige for alle personopplysninger som benyttes i egen undervisning, administrasjon, forskning og formidling. Dette gjelder også når driften av systemer eller andre tekniske løsninger hvor personopplysninger behandles er satt ut til eksterne aktører (se beskrivelsen av databehandler nedenfor).
Behandlingsansvarlig (universitetet eller høyskolen) pålegges en rekke plikter ved behandling av personopplysninger. Dette inkluderer blant annet plikten til å sørge for at  

• behandlingen av opplysningene er lovlig, 
• opplysningene brukes til tydelig definerte formål, 
• det ikke behandles flere opplysninger enn hva som er strengt tatt nødvendig, 
• datakvaliteten er tilfredsstillende, 
• opplysningene er godt nok sikret mot uautorisert tilgang, endring, sletting, tap, ødeleggelse eller utilgjengelighet (informasjonssikkerhet).  

Behandlingsansvarlig (universitetet eller høyskolen) har i tillegg plikt til å ivareta den registrertes (studenter, ansatte, osv.) rettigheter (se beskrivelsen av disse rettighetene ovenfor).
Brudd på regelverket kan utløse sanksjoner fra tilsynsmyndigheten (Datatilsynet), blant annet overtredelsesgebyr. Behandlingsansvarlig (universitetet eller høyskolen) kan også bli erstatningsansvarlige overfor den eller de som utsettes for personvernkrenkelser som følge av regelbrudd.