Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov. Základné zásady spracúvania osobných údajov sú nasledovné:
1) Každé spracúvanie osobných údajov musí byť vykonávané zákonným spôsobom a spravodlivo. Pre dotknuté osoby musí byť získavanie, používanie, konzultovanie alebo iné spracúvanie transparentné, aby nedošlo k porušeniu základných práv dotknutej osoby.
2) Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom.
3) Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.
4) Osobné údaje musia byť správne a podľa potreby aktualizované. Nesprávne osobné údaje (vrátane nesprávnosti z hľadiska účelov spracúvania) musia byť bezodkladne vymazané alebo opravené.
5) Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa spracúvajú; výnimky a podmienky ich uplatnenia určuje Nariadenie a Zákon.
6) Osobné údaje musia byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním, náhodnou stratou, poškodením alebo výmazom primeranými technickými alebo bezpečnostnými opatreniami.
Prevádzkovateľ je povinný, berúc do úvahy povahu, rozsah a účel spracúvania osobných údajov a riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzickej osoby, prijať vhodné technické a organizačné opatrenia, aby zabezpečil a preukázal, že spracúvanie osobných údajov sa vykonáva v súlade s Nariadením a Zákonom. Takéto opatrenia zahŕňajú aj zavedenie primeraných postupov ochrany osobných údajov. Prijaté opatrenia je Prevádzkovateľ povinný podľa potreby aktualizovať.
Prevádzkovateľ je povinný mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad. Pri špecificky navrhnutej ochrane osobných údajov má Prevádzkovateľ zohľadniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie opatrení, povahu, rozsah, kontext a účel spracúvania osobných údajov a riziká spracúvania osobných.
Tieto opatrenia sú bližšie špecifikované v dokumente Bezpečnostná smernica pre OD.
Štandardná ochrana osobných údajov spočíva v prijatí primeraných technických a organizačných opatrení na zabezpečenie spracúvania osobných údajov len na konkrétny účel, minimalizácie množstva získaných osobných údajov a rozsahu ich spracúvania, doby uchovávania a dostupnosti osobných údajov. Prevádzkovateľ je povinný zabezpečiť, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.