Precis som med mycket annat handlar GDPR-efterlevnad om att börja någonstans. Ett av flera krav som GDPR ställer på personuppgiftsansvarige och på personuppgiftsbiträden är att löpande föra register eller förteckning över all behandling av personuppgifter som sker inom företaget. Att starta arbetet för anpassning till GDPR genom att upprätta ett sådant register/förteckning är ett bra första steg. Det ger en helhetsbild över företagets personuppgiftbehandling och kan dessutom ligga till grund för det övriga och fortsatta GDPR arbetet.

I GDPR skiljer man på icke känsliga personuppgifter och känsliga personuppgifter. Icke känsliga personuppgifter är all information som direkt eller indirekt kan kopplas till en person i livet. Det kan exempelvis gälla namn, adress, personnummer eller foton. Med känsliga personuppgifter menas bl.a. uppgifter om personens hälsa, etnicitet, sexuella läggning och politiska åsikter. Med behandling avses alla åtgärder som vidtas med personuppgifterna, exempelvis insamling, lagring, bearbetning eller reklamutskick. Varje behandling måste ha stöd i en av sex rättsliga grunder som följer av GDPR.

I praktiken handlar det initiala arbetet om att kontrollera vilka uppgifter företaget behandlar och varför behandlingen sker. Personuppgifterna som behandlas kan exempelvis avse personal, kunder och leverantörer, potentiella kunder och leverantörer eller andra typer av samarbetspartners. 

En annan rekommendation är att tidigt skapa rutiner för när personuppgifter ska raderas. I vissa fall följer det av lag hur länge personuppgifter ska bevaras, t.ex. bokföringslagen, penningtvätt, och vissa arbetsrättsliga regelverk. 

För ett gediget GDPR-arbete krävs också att tekniska och organisatoriska säkerhetsaspekter beaktas. Teknisk säkerhet kan exempelvis handla om brandväggar och system för backup. Organisatorisk säkerhet är exempelvis att behörighet till vissa system är begränsade i enlighet med dokumenterade riktlinjer. En bra utgångspunkt är att bara de som har behov av åtkomst till specifika personuppgifter för att utföra sina arbetsuppgifter ska ha sådan åtkomst. Det kan exempelvis vara olämpligt att en säljare har åtkomst till uppgifter om kollegornas sjukfrånvaro – åtkomst till sådana uppgifter bör begränsas till HR och chefer som behöver tillgång till uppgifterna.