Zpracování osobních údajů je jakýkoli úkon nebo soubor úkonů, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním se rozumí zejména shromažďování, zaznamenání, uspořádání, strukturování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, nahlédnutí, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.
Zpracování ve smyslu Obecného nařízení však nelze chápat jako jakékoli nakládání s osobním údajem, a to i v rámci provozování podnikatelské činnosti. Zpracování osobních údajů, ať již z pohledu správce či zpracovatele je nutné považovat již za sofistikovanější činnost, kterou správce s osobními údaji provádí za určitým účelem a z určitého pohledu tak činí systematicky. Pro nakládání s osobními údaji způsobem, který není zpracováním, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník. Obecným nařízením se tak jako správci či zpracovatelé řídí pouze ty subjekty, které osobní údaje zpracovávají ve smyslu definice zpracování, tzn. včetně určité míry systematičnosti.
Pokud se jedná o servisní zásah či obdobnou službu, při které dojde nezbytně k určité dispozici s osobními údaji (v rámci předávání databáze), tak účelem tohoto kroku není nakládání s osobními údaji databáze subjektem poskytujícím servis, nýbrž vyřešení problému nesouvisejícího s těmito osobními údaji, kdy předání (a vrácení) databáze s osobními údaji je s ohledem na technický požadavek řešení problému sice nezbytným úkonem pro servisní zásah, avšak tato dispozice s osobními údaji je jakýmsi „vedlejším“ produktem a nikoliv účelem. Z tohoto důvodu se proto Obecné nařízení GDPR na tyto servisní zásahy nevztahuje – pokud by došlo k porušení ochrany osobních údajů, např. jejich zneužitím, pak nastupuje obecná úprava daná občanským zákoníkem (ochrana osobnosti) či zákoníkem trestním.