Při kontrole ze strany Úřadu pro ochranu osobních údajů (dále jen "ÚOOÚ") musí být především každý správce povinen doložit, že je v souladu s GDPR. GDPR nestanoví, jak tuto povinnost zajistit, uvádí jen příklady, např. vypracování vlastní vhodné koncepce v oblasti ochrany osobních údajů (dokumentace, která bude obsahovat základní principy při zpracování a zabezpečení ochrany osobních údajů v dané organizaci a konkrétní pokyny pro jednotlivé zaměstnance správce, jak mají vzhledem ke specifikům správce prakticky provádět zásady a povinnosti vyplývající z GDPR), kodexy chování schválené ÚOOÚ (dokumenty vypracované sdruženími nebo subjekty zastupujícími různé kategorie správců nebo zpracovatelů, např. odvětvové organizace, obsahující způsoby, jak implementovat povinnosti v GDPR s ohledem na specifika daného odvětví) a osvědčení o ochraně osobních údajů vydané příslušnou akreditovanou institucí (správce si sám připraví opatření k plnění povinností k plnění GDPR, pak požádá akreditovaný subjekt, aby u něj provedl audit a posoudil soulad s GDPR; pokud právní audit proběhne v pořádku, správci bude uděleno osvědčení s platností nejvýše na 3 roky).

Dále musí správce ÚOOÚ předložit záznamy o činnostech zpracování, které je povinen vést o všech zpracováních osobních údajů podle jejich účelů (až na malé výjimky). Jedná se v podstatě o určitou evidenci zpracování u každého správce, která nahradila předchozí oznamovací povinnost u ÚOOÚ.

Konečně může ÚOOÚ jako každý jiný kontrolní úřad provádějící kontrolu podle kontrolního řádu (č. 255/2012 Sb.) požadovat poskytnutí všech údajů, dokumentů a věcí vztahujících se k předmětu kontroly nebo k činnosti správce (v odůvodněných případech může zajišťovat i originální podklady), např. souhlasy subjektů údajů, důkazy o splnění informační povinnosti.