Prostřednictvím vydání tohoto vnitřního předpisu plní zaměstnavatel některé své povinnosti, které mu v souvislosti se zpracováváním osobních údajů ukládá nařízení GDPR.
Uvedená varianta vzoru vnitřního předpisu vychází z předpokladu, že zaměstnavatel zpracovává zejména ty osobní údaje, které musí zpracovávat podle zvláštních právních předpisů nebo je jich třeba k uplatnění práv a povinností zaměstnavatele.
Pokud by zaměstnavatel zpracovával i jiné osobní údaje, musel by jednak stanovit účel tohoto zpracování jednak zajistit, aby se zpracováním vyslovil subjekt údajů informovaný souhlas odpovídající požadavkům vyplývajícím z GDPR.
Vnitřní předpis rámcově nastiňuje organizační a technická opatření k zajištění, že zpracování je prováděno v souladu s nařízením GDPR. Tato opatření musí každý správce doplnit a přizpůsobit tak, aby odpovídala jeho podmínkám, účelu zpracování, způsobu zpracování atd. Existenci těchto opatření je zaměstnavatel povinen doložit. Tato opatření musí být podle potřeby revidována a aktualizována.
Pokud je to s ohledem na činnosti zpracování přiměřené, měla by uvedená opatření zahrnout i uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.