Všechny subjekty, které zpracovávají osobní údaje (od státních úřadů až po živnostníka), byly povinny do 25. 5. 2018 své zpracování osobních údajů uvést do souladu s GDPR. Rozsah změn pro jednotlivé správce osobních údajů závisí na tom, jestli v minulosti dodržovali zákon o ochraně osobních údajů, zda v rámci své hlavní činnosti zpracovávají osobní údaje a v jakém množství a jaké kategorie osobních údajů (např. nemocnice budou mít o dost více práce než výrobní společnosti) a zda s osobními údaji provádějí nějaké vysoce rizikové operace (např. rozsáhlé monitorování fyzických osob kamerovými systémy).

Mezi základní povinnosti patří velmi obecná povinnost zajistit a doložit soulad zpracování osobních údajů s GDPR s tím, že záleží na jednotlivých správcích, jak toho dosáhnou. Např. bude v budoucnu možné získat od akreditovaných subjektů oficiální osvědčení o souladu s GDPR.

Dále musejí správci a zpracovatelé (třetí osoby, které zpracovávají osobní údaje pro správce) vést evidenci o každém typu zpracování (tzv. záznamy o činnostech zpracování).

Správci jsou také povinni v krátké lhůtě ohlašovat bezpečnostní incidenty (např. únik osobních dat) Úřadu pro ochranu osobních údajů a v některých případech i fyzickým osobám, jichž se bezpečnostní incident bude týkat (např. ztráta osobní složky zaměstnance).

V případě vysoce rizikových zpracování osobních údajů (např. rozsáhlé systematické monitorování veřejně přístupných prostorů) je nutné předem vypracovat podrobnou analýzu o vlivu daného zpracování na ochranu osobních údajů a případně dané zpracování konzultovat s Úřadem pro ochranu osobních údajů.

Konečně subjekty ve veřejné sféře (orgány veřejné moci a orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu) a subjekty provádějící vysoce rizikové operace s osobními údaji (např. nemocnice) musejí jmenovat pověřence pro ochranu osobních údajů, jehož úkolem je zejména monitorovat soulad zpracování osobních údajů s GDPR a být kontaktním místem pro Úřad pro ochranu osobních údajů a subjekty údajů.

GDPR také významný způsobem rozšiřuje (prohlubuje) práva subjektů údajů, takže správci a zpracovatelé musejí být připraveni na to, aby tato práva byli schopni uspokojovat (např. právo být zapomenut, právo na přenesení kopie všech osobních údajů k jinému správci). Být v souladu s GDPR tedy neznamená jen přípravu nebo revizi příslušných dokumentů, ale také úpravu interních procesů a IT systémů, což může být časově i finančně náročné.