Een verwerkingsverantwoordelijke is de partij die bepaalt waarom en hoe persoonsgegevens worden verwerkt, terwijl een verwerker die gegevens uitsluitend verwerkt in opdracht van die verantwoordelijke. Het onderscheid draait niet om techniek, maar om zeggenschap: wie het doel en de middelen vaststelt, draagt de primaire verantwoordelijkheid onder de privacywetgeving.
In de praktijk is de verwerkingsverantwoordelijke vaak de organisatie achter een website, applicatie of dienst. Zij beslist welke gegevens worden verzameld, met welk doel en hoe lang die worden bewaard. De verwerker voert die verwerking uit, bijvoorbeeld door hosting, onderhoud of dataverwerking te leveren, maar mag daarbij geen eigen keuzes maken over het gebruik van de data. Dat verschil is juridisch scherp afgebakend.
Dit onderscheid is geen formaliteit. Het bepaalt wie aansprakelijk is bij fouten, wie verplicht is tot transparantie richting betrokkenen en wie passende technische en organisatorische maatregelen moet borgen. Wie deze rollen door elkaar haalt, loopt niet alleen juridisch risico, maar verliest ook grip op verantwoordelijkheid.