A személyes adatokkal végzett egyes műveleteknél lényeges annak meghatározása, hogy az azt végrehajtó szervezet az adatok tekintetében adatkezelőnek vagy adatfeldolgozónak minősül-e. Az elkülönítés fontos, mivel eltérő kötelezettségek keletkeznek a különböző pozíciókból.
Az adatkezelő és az adatfeldolgozó nemcsak kötelezettségek tekintetében, hanem a személyes adatok kezelésével kapcsolatosan őket terhelő felelősség szempontjából is eltér.
Fontos, hogy egy adatvédelmi audit során a vizsgálat a vállalkozás, szervezet valamennyi adatkezelési területét illetően kiterjedjen az adatfeldolgozói pozícióba kerülő partnerekkel, alvállalkozókkal kötött szerződésekre, megállapodásokra is. Ugyanakkor nem kerülheti el figyelmünket az a tény sem, hogy szervezetünk, vállalkozásunk lehet adatfeldolgozója más cégek kezelésében álló személyes adatoknak is, ezért a vizsgálatnak ki kell terjednie valamennyi személyes adatra, melyekkel a vállalkozás bármilyen formában találkozik. Az audit során a vizsgálat részét kell, hogy képezze a személyes adtok átadásáról szóló megállapodások, szerződések elemzése, különös figyelemmel arra, hogy adatfeldolgozói pozíció esetén tartalmazzák-e az adatfeldolgozói megállapodásokra vonatkozó jogszabály által előírt kötelező formai, tartalmi elemeket.
Egy cég vagy szervezet tevékenysége csak akkor lehet hosszú távon is hatékony, ha az adatkezelései az elejétől a végéig jogkövetőek. Ahhoz, hogy a személyes adatokkal végzett tevékenység jogszerű legyen, fontos annak ismerete, hogy tekintetükben az adott vállalakozás vagy szervezet adatkezelőnek vagy adatkezelőnek minősül-e. A vonatkozó előírások betartása nem pusztán a hatékonyságot növeli, hanem saját magunk és ügyfeleink biztonságát is szolgálja, tekintettel arra, hogy a személyes adatok kezelésével kapcsolatos visszaélések akár büntetőjogi szankcióval is sújthatók. A jogszerű működés kialakításában nyújthat segítséget egy szakértők által végrehajtott adatvédelmi audit, mely biztosítja valamennyi adatkezelésünk jogi megfelelőségét.