GDPR definuje principy zpracování (zákonnost, minimalizace, omezení účelu, integrita a důvěrnost) a posiluje práva osob. Organizace musí prokazovat odpovědnost: znát své toky dat, mít právní základy a řídit rizika. Povinnosti zahrnují záznamy činností, DPIA, smlouvy se zpracovateli a oznamování incidentů. Ve veřejné správě často dominuje právní základ „plnění právní povinnosti“, ale i tak je nutná průhlednost a bezpečnost. Soulad není jednorázový projekt, ale průběžná praxe v procesech i IT. Technologie (šifrování, pseudonymizace, řízení přístupů) doplňují organizační kontroly. Vedení musí vyvažovat ochranu soukromí s kvalitou služeb a otevřeností dat. Nedostatečná dokumentace a „papírový soulad“ se rychle odhalí při incidentech.
