Hlavní povinnosti správců jsou:

 1. Zpracovávat osobních údajů v souladu se GDPR.
 2. Dodržování zásad zpracování osobních údajů tj. souladu s GDPR.
 3. Prokazovat soulad s GDPR.
 4. Přijmout dostatečná opatření, aby nemohlo dojít ke ztrátě, zničení nebo zneužití osobních údajů. Průběžně kontrolovat a monitorovat zpracování dat.
 5. Pokud organizace zaměstnává více než 250 zaměstnanců nebo je riziko při zpracovávání osobních údajů příliš velké, je povinna vést záznamy o činnostech zpracování. Vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.
 6. Pokud nese zpracovávání osobních údajů vysoké riziko pro práva a svobody fyzických osob je nutné provést posouzení vlivu na ochranu osobních údajů. Posouzení vlivu na ochranu osobních údajů se vyžaduje především:
  1. u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky,
  2. u rozsáhlého zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech,
  3. u rozsáhlého systematického monitorování veřejně přístupných prostorů,
 7. Správce konzultuje s Úřadem pro ochranu osobních údajů, pokud z posouzení vlivu na ochranu osobních údajů vyplyne, že by dané zpracování mělo za následek vysoké riziko, pokud by správce nepřijal opatření ke zmírnění tohoto rizika.
 8. Ohlašování případu porušení zabezpečení osobních údajů správcem Úřadu pro ochranu osobních údajů – do 72 hodin.
 9. Oznamování případu porušení zabezpečení osobních údajů subjektu údajů – dotčené fyzické osobě.
 10. Ustanovit pověřence pro ochranu osobních údajů, pokud se jedná o:
  1. orgán veřejné moci nebo veřejný subjekt,
  2. hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů,
 11. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.