Dobrou zprávou v tomto ohledu je fakt, že podnikatelé, kteří zcela naplňují podmínky současné „stojedničky“ (zák. č 101/2000 Sb., o ochraně osobních údajů), z hlediska fungování kamerových systémů naplní též velkou část povinností uvedených v GDPR.
Nikoli překvapivým faktem dále je, že ani po 25. 5. 2018, kdy GDPR nabude účinnosti, nebude vždy nutné vyžadovat po monitorovaných subjektech jejich souhlas s tím, aby mohly být natáčeny. Oproti současnosti však doznají změn podmínky nutné k tomu, aby správce mohl bez uděleného souhlasu monitorovat osoby a kamerové záznamy uchovávat. Zřejmě nečastějším případem, kdy bude možné uchovávat kamerové záznamy bez souhlasu subjektů údajů, bude situace, kdy zpracování osobních údajů bude nezbytné pro účely oprávněných zájmů správce či třetí strany, např. z důvodu prevence krádeží. Je však třeba mít na paměti, že monitorování není možné provádět v takové míře, aby zasahovalo do základních práv a svobod lidí, zejména tedy práva na soukromí. Taktéž je třeba upozornit na skutečnost, že monitorování je nutno provádět v míře přiměřené účelu, pro který je prováděno.
Podobně jako dnes, i po 25. 5. 2018 bude nutné, aby správce přehledným a transparentním způsobem informoval o tom, že je prostor monitorován kamerami. Dle GDPR bude nutné, aby subjekty údajů, podobně jako již nyní, byly informovány nejen o tom, že je prostor monitorován kamerami, ale také informovat o tom, kdo a jakým způsobem kamerové záznamy zpracovává. V praxi tedy bude nutné informovat o totožnosti a kontaktních údajích na správce či jeho případného zástupce, o účelu zpracování, právním základu pro zpracování, a pro případ, že dochází ke zpracování na základě oprávněného zájmu správce, je třeba též uvést jaké oprávněné zájmy správce či třetí strany opravňují správce ke zpracování osobních údajů tímto způsobem. Správce je dále povinen informovat o případných příjemcích či kategoriích příjemců osobních údajů. Informační povinnost správce uvedením těchto skutečností nekončí. Jestliže je to nutné pro zajištění spravedlivého a transparentního zpracování, je správce povinen dále informovat subjekt údajů např. o době, po kterou budou osobní údaje uloženy nebo o existenci práva podat stížnost u dozorového úřadu.
Novotou, která se do našeho právního řádu dostane spolu s GDPR je tzv. princip odpovědnosti. Ten znamená, že soulad s tímto nařízením dokládá přímo správce na vyžádání dozorového úřadu, tedy Úřadu pro ochranu osobních údajů. S tím také souvisí povinnost správce vést v určitých případech tzv. záznamy o činnostech zpracování. Pojetí toho, kdo je povinen tyto záznamy vést, je však velmi široké a lze téměř s jistotou říci, že každý, kdo provozuje kamerové systémy a uchovává kamerové záznamy, bude povinen tyto záznamy vést. Záznamy o zpracování jsou interní dokumenty, v nichž je správce povinen uvést zejména své jméno a kontaktní údaje, účely zpracování, kategorie subjektů údajů a kategorie osobních údajů, kategorie příjemců a je-li to možné, taktéž uvést lhůty pro výmaz a obecný popis technických a organizačních bezpečnostních opatření. Tyto záznamy budou správci povinni vést písemně, případně elektronicky, a na vyžádání Úřadu pro ochranu osobních údajů budou tyto záznamy povinni předložit.
Další velmi podstatnou novinkou, která opět souvisí s principem odpovědnosti správce, je povinnost hlášení bezpečnostních incidentů. Tato povinnost znamená, že v případě porušení zabezpečení osobních údajů je správce povinen bez zbytečného odkladu, nejpozději však do 72 hodin, nahlásit Úřadu pro ochranu osobních údajů, že k takovému incidentu došlo a další podrobnosti, které s tím souvisí. V případě, že by takové porušení zabezpečení mohlo pro subjekty údajů znamenat vysoké riziko pro jejich práva a svobody, je správce povinen oznámit porušení bezpečnosti také přímo těmto subjektům údajů.