Bảy nguyên tắc của GDPR bao gồm: hợp pháp, công bằng và minh bạch; giới hạn mục đích; giảm thiểu dữ liệu; sự chính xác; giới hạn lưu trữ; tính toàn vẹn và bảo mật; và trách nhiệm giải trình. Trên thực tế, chỉ một trong những nguyên tắc này - trách nhiệm giải trình - là mới đối với các quy tắc bảo vệ dữ liệu. Còn hầu hết các nguyên tắc khác đều tương tự như những nguyên tắc tồn tại theo luật pháp của nhiều nước châu Âu.
Tính hợp pháp, công bằng và minh bạch: Việc xử lý dữ liệu phải được thực hiện trên cơ sở hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu cá nhân; những chủ thể này phải được biết một cách chính xác về việc dữ liệu cá nhân của họ được thu thập, sử dụng, tham khảo và về mức độ xử lý dữ liệu cá nhân của họ; các thông tin về việc xử lý dữ liệu cá nhân cần phải được dễ dàng truy cập, dễ hiểu, ngôn ngữ được sử dụng phải rõ ràng, đơn giản.
Giới hạn mục đích sử dụng: Khi thu thập dữ liệu cá nhân, bên thu thập phải xác định rõ mục đích và chỉ sử dụng cho mục đích đó.
Giảm thiểu dữ liệu: Chỉ thu thập dữ liệu tối thiểu và cần thiết nhất cho mục đích được xác định ban đầu, không thu thập, khai thác thông tin để dự phòng hoặc không xác định trước mục đích.
Nguyên tắc giảm thiểu dữ liệu không phải là mới, nhưng nó vẫn tiếp tục quan trọng trong thời đại mà chúng ta đang tạo ra nhiều thông tin hơn bao giờ hết. Các tổ chức không nên thu thập nhiều thông tin cá nhân hơn mức họ cần từ người dùng của mình. Nguyên tắc này được thiết kế để bảo đảm các tổ chức không lạm dụng loại dữ liệu mà họ thu thập về mọi người. Chẳng hạn, một nhà bán lẻ trực tuyến không cần thu thập ý kiến chính trị của mọi người khi họ đăng ký vào danh sách được gửi thư thông báo qua email để được thông báo khi đợt giảm giá diễn ra.
Độ chính xác: Mọi dữ liệu phải chính xác và cập nhật trong tất cả các bước xử lý. Dữ liệu cá nhân không chính xác sẽ được chỉnh sửa hoặc xóa.
Giới hạn thời gian lưu trữ: Chỉ có thể lưu trữ dữ liệu cá nhân trong thời gian cần thiết cho mục đích sử dụng, thời gian mà dữ liệu cá nhân lưu trữ được giới hạn ở mức tối thiểu. Không được lưu trữ dữ liệu quá thời gian cần thiết theo mục đích sử dụng đã xác định (trừ trường hợp ngoại lệ trên).
Tính toàn vẹn và bảo mật: Dữ liệu cá nhân phải được bảo vệ khỏi việc "xử lý trái phép hoặc bất hợp pháp" cũng như khỏi nguy cơ mất mát, phá hủy hoặc hư hỏng do tai nạn. Nói một cách dễ hiểu, điều này có nghĩa là phải áp dụng các biện pháp bảo vệ an ninh thông tin phù hợp để bảo đảm thông tin không bị tin tặc truy cập hoặc vô tình bị rò rỉ do vi phạm dữ liệu.
GDPR không nói rõ bảo mật tốt sẽ là thế nào, vì nó khác nhau giữa các cơ quan, tổ chức. Ngân hàng sẽ phải có hệ thống bảo vệ thông tin mạnh mẽ hơn một nha sĩ địa phương. Tuy nhiên, nói chung, nên áp dụng các biện pháp kiểm soát truy cập thích hợp vào thông tin, các trang web phải được mã hóa và khuyến khích sử dụng bút danh.
Điều đó có nghĩa rằng, các biện pháp an ninh mạng của một cơ quan, tổ chức cần phải phù hợp với quy mô và việc sử dụng mạng cũng như hệ thống thông tin của cơ quan, tổ chức đó. Nếu xảy ra vi phạm dữ liệu, các cơ quan quản lý bảo vệ dữ liệu sẽ xem xét quy trình thiết lập bảo mật thông tin của công ty khi xác định bất kỳ khoản tiền phạt nào có thể được đưa ra. Cathay Pacific Airways đã bị phạt 500.000 bảng Anh vì đã để rò rỉ 111.578 thông tin cá nhân của khách hàng của Vương quốc Anh với lý do rằng hãng hàng không có "những bất cập cơ bản về an ninh" trong quá trình thiết lập bảo mật thông tin.
Trách nhiệm giải trình: Người kiểm soát, xử lý phải chịu trách nhiệm và chứng minh việc mình đã tuân thủ quy định.
Trách nhiệm giải trình là nguyên tắc mới duy nhất trong GDPR. Nguyên tắc này được thêm vào để bảo đảm các công ty phải chứng minh rằng họ đang làm việc để tuân thủ GDPR. Nói một cách đơn giản nhất, trách nhiệm giải trình có thể có nghĩa là ghi lại cách dữ liệu cá nhân được xử lý và các bước được thực hiện để bảo đảm chỉ những người cần truy cập một số thông tin mới có thể truy cập được. Trách nhiệm giải trình cũng có thể bao gồm đào tạo nhân viên về các biện pháp bảo vệ dữ liệu và thường xuyên đánh giá cũng như các quy trình xử lý dữ liệu.
Việc "phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào" dữ liệu của mọi người phải được báo cáo cho cơ quan quản lý bảo vệ dữ liệu của một quốc gia nơi nó có thể có tác động bất lợi đến những người liên quan. Điều này có thể bao gồm tổn thất tài chính, vi phạm bảo mật, tổn hại danh tiếng… Chẳng hạn tại Vương quốc Anh, cơ quan chịu trách nhiệm quản lý về bảo vệ dữ liệu thông tin của Anh, phải được thông báo về việc vi phạm dữ liệu 72 giờ sau khi một tổ chức phát hiện ra điều đó. Tổ chức cũng cần thông báo cho mọi người về tác động của vi phạm.
Đối với các công ty có hơn 250 nhân viên, cần phải có tài liệu về lý do tại sao thông tin của mọi người được thu thập và xử lý, mô tả về thông tin được lưu giữ, thời gian lưu giữ và mô tả về các biện pháp bảo mật kỹ thuật. Điều 30 của GDPR quy định rằng hầu hết các tổ chức cần lưu giữ hồ sơ về quá trình xử lý dữ liệu của họ, cách dữ liệu được chia sẻ và lưu trữ.
Ngoài ra, các tổ chức có hoạt động "giám sát thường xuyên và có hệ thống" các cá nhân ở quy mô lớn hoặc xử lý nhiều dữ liệu cá nhân nhạy cảm phải thuê nhân viên bảo vệ dữ liệu. Đối với nhiều tổ chức, điều này có thể có nghĩa là phải thuê một nhân viên mới - mặc dù các doanh nghiệp lớn hơn và cơ quan công quyền có thể đã có người đảm nhận vai trò này. Trong công việc này, người đó phải báo cáo với các thành viên cấp cao của đội ngũ nhân viên, giám sát việc tuân thủ GDPR và là đầu mối liên hệ của nhân viên và khách hàng.
Nguyên tắc trách nhiệm giải trình cũng rất quan trọng nếu một tổ chức đang bị điều tra về khả năng vi phạm một trong các nguyên tắc của GDPR. Có sẵn hồ sơ chính xác về tất cả các hệ thống, cách xử lý thông tin và các bước thực hiện để giảm thiểu sai sót sẽ giúp tổ chức chứng minh với các cơ quan quản lý rằng tổ chức thực hiện nghiêm túc nghĩa vụ GDPR của mình.
