Základní požadavky lze shrnout do následujících bodů, z nichž vyplývají dílčí povinnosti pro subjekty zpracovávající osobní údaje:
- Omezení účelem – není možné využít data pro jiné zpracování než pro ta, pro které byl udělen souhlas nebo nejsme schopni doložit oprávněný zájem či jiný zákonný titul.
- Minimalizace údajů – pouze údaje nezbytně nutné k dosažení účelu (tzn. smazat údaje, jejichž důvod ukládání nejsme schopni doložit, neskladovat nepotřebné údaje).
- Omezení doby zpracování – údaje smazat pomine-li důvod zpracování.
- Transparentnost – subjekt údajů musí být informován pravdivě, transparentně a jednoduše o zpracování svých údajů.
- Omezení uložení – tzv. retenční doba, lhůta po kterou mohou být dané údaje uchovávány pro daný účel a jsou stanoveny pro jednotlivá zpracování skartačním a archivačním řádem. Po určité době mazat nebo anonymizovat údaje. Fyzické dokumenty skartovat. Každý údaj má dobu, po jejímž uplynutí by měl být smazán, skartován apod.
- Přesnost – aktualizovat pravidelně data (opravit ukládaná data na žádost subjektu údajů).
- Bezpečná zpracování – data klientů chránit například šifrováním nebo zamykáním