Rekisterinpitäjän vastuulla on järjestää ne toimenpiteet, jotka tuovat tietosuojaperiaatteet (kuten tietojen minimoinnin) osaksi henkilötietojen käsittelyä ja rekisteröityjen oikeuksia pystytään suojaamaan.

Rekisterinpitäjän ja henkilötietojen käsittelijän vastuulla on analysoida henkilötietojen käsittelyn rekisteröidyille aiheuttamaa riskiä ja toteuttaa riskitasoa vastaavan turvallisuustason varmistavat toimenpiteet (kuten henkilötietojen salaus ja henkilöstön koulutus), joita esitellään tässä artiklassa.

GDPR-asetus velvoittaa jäsenvaltioita, valvontaviranomaisia, tietosuojaneuvostoa sekä komissiota edistämään käytännesääntöjen laatimista, jotka voivat helpottaa esimerkiksi eri kokoisten ja eri alojen organisaatioita soveltamaan tätä asetusta asianmukaisesti.

Mikäli GDPR:n asianmukaista soveltamista helpottavia käytännesääntöjä muodostuu, niiden noudattamista voi seurata ainoastaan toimija, jolla on käytännesääntöjen kohteen osalta asianmukaisen tason asiantuntemus ja jonka toimivaltainen valvontaviranomainen on akkreditoinut tähän tarkoitukseen.

Tietosuojaa koskevia sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä kannustetaan ottamaan käyttöön erityisesti unionin tasolla. Sertifikaattien tarkoituksena on osoittaa, että kyseisiä käsittelytoimia suoritettaessa noudatetaan tätä asetusta.

Tietosuojaan liittyvän sertifioinnin voi myöntää ja uusia ainoastaan riippumaton ja asiantunteva toimija, jonka joko valvontaviranomainen tai erityinen kansallinen akkreditointelin on akkreditoinut.