ผู้ควบคุมข้อมูลไม่ว่าจะเป็นบุคคลหรือนิติบุคคลมีอำนาจในการตัดสินใจเกี่ยวกับการรวบรวมการใช้และการเปิดเผยข้อมูลส่วนบุคคล และพวกเขาจะต้องสามารถแสดงให้เห็นว่าเจ้าของข้อมูลได้รับความยินยอมโดยสมัครใจและต้องมั่นใจว่าผลประโยชน์สิทธิขั้นพื้นฐานและเสรีภาพของเจ้าของข้อมูลจะไม่ถูกแทนที่ โดยสรุปการขอความยินยอมที่ถูกต้องตามกฎหมายตั้งแต่เริ่มแรก
การเรียกเก็บเงินนั้นกำหนดให้ผู้ควบคุมข้อมูลเช่นเดียวกับโปรเซสเซอร์และบุคคลหรือนิติบุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของหรือภายใต้คำแนะนำของตัวควบคุมข้อมูลใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมและนโยบายเพื่อช่วยปกป้องและป้องกันข้อมูลจากความเสี่ยง ตัวอย่างเช่นควรมีระบบที่มีประสิทธิภาพในการปกป้องข้อมูลและป้องกันการรั่วไหลของข้อมูลและการใช้ในทางที่ผิดและนโยบายที่ชัดเจนเกี่ยวกับเอกสารที่จำเป็นในการสนับสนุนการใช้งานข้อมูลที่เก็บรวบรวมและการเก็บรักษาและการทำลายข้อมูล