Ve vztahu ke zpracování osobních údajů rozlišujeme tři role.
Subjekt údajů je každá fyzická osoba, jejíž údaje jsou zpracovávány.
Správce je osoba, která osobní údaje shromažďuje a určuje, co se s nimi stane.
Zpracovatel je ten, kdo zpracovává osobní údaje pro správce.
Správce může být zároveň také zpracovatelem. Zpracovatelem, ale může být i někdo třetí, nadále lze využívat externích služeb. Odpovědnost za zpracování však vždy nese správce a je tedy na něm, aby po svých zpracovatelích požadoval adekvátní úroveň zabezpečení. Doporučujeme doplnění zpracovatelských doložek ke stávajícím smlouvám.
Nařízení rovněž počítá s možností takzvaných společných správců, kteří si mezi sebou smluvně vymezí své podíly na odpovědnosti za plnění povinností.
Zpracování osobních údajů je možné pouze na základě využití jednoho z šesti právních titulů. Už podle zákona č. 101/2000 Sb. platilo, že souhlas se zpracováním osobních údajů není nezbytný pro každé zpracování. Nicméně v důsledku nepřesné implementace evropské směrnice z roku 1995 do výše uvedeného zákona vznikla formulace, která vyvolává nesprávný dojem, že souhlas je primárním právním základem. Díky tomu u nás byla přesouhlasovanost, čemuž se GDPR snaží zabránit a dá se očekávat, že vyžadování souhlasu v neopodstatněných případech bude penalizováno.
Správce by měl pečlivě posoudit, zda může zpracovávat osobní údaje na základě jiného právního základu a na souhlas spoléhat až když to jinak není možné vyřešit.
Osobní údaje lze zpracovávat, je-li to nezbytné pro uzavření nebo plnění smlouvy, je-li nutné dodržet právní povinnosti správce (například role zaměstnavatele), pro ochranu životně důležitých zájmů subjektu údajů (příkladem může být zpracování údajů lékařem, je-li subjekt údajů v bezvědomí), pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci nebo jedná-li se o oprávněný zájem správce.
V případě oprávněného zájmu je potřeba postupovat s maximální obezřetností a celou problematiku posuzovat komplexně, protože oprávněný zájem správce za žádných okolností nesmí převažovat nad zájmy nebo právy a svobodami subjektu údajů. Tyto zájmy musí být v rovnováze.
Posledním právním titulem, na základě kterého smíme osobní údaje zpracovávat, je tedy souhlas. Souhlas by měl být vyžadován v případech, kdy se jedná o zpracování, které je pro fyzické osoby, jejichž osobní údaje jsou zpracovávány, určitým způsobem rizikové a nelze pro něj využít jiný právní titul. GDPR stanoví parametry, jak má takový souhlas vypadat. Kromě toho, že má být dán svobodně, musí být konkrétní, informovaný a jednoznačný, tak subjekt údajů musí vědět, na jak dlouhou dobu souhlas uděluje a za jakým účelem. Souhlas se uděluje prohlášením či jiným zjevným potvrzením (například zaškrtávacím políčkem, které nesmí být předem zatrženo nebo uvedením e-mailové adresy do pole, u kterého je uvedeno, že si subjekt údajů přeje zasílat reklamní sdělení). Mlčení se v tomto případě opravdu za souhlas nepovažuje. Souhlas má být vyjádřen jednoduchými jazykovými prostředky a musí být samostatný. Tedy oddělený od jakékoliv smlouvy či obchodních podmínek. Jeho udělení nesmí být ničím podmíněno a musí být kdykoliv odvolatelný.