Responsabilitatea reprezintă un principiu important introdus de GDPR, care presupune că singurul responsabil de implementarea cerințelor GDPR este operatorul de date. Acesta din urmă poate dovedi că a implementat toate măsurile adecvate pentru protecția datelor cu caracter personal.
Prin urmare, simpla afirmare că datele cu caracter personal sunt protejate nu este suficientă, ci este necesară documentarea proceselor de protecție prin politici, proceduri, registre, acorduri, informări către persoanele în cauză, precum și alte asemenea documente.