Alla som behandlar personuppgifter behöver följa GDPR (dataskyddsförordningen). Behandling av personuppgifter avser alla åtgärder som vidtas med personuppgifter, allt från insamling till radering. Det kan exempelvis gälla lagring, användning, registrering, utlämnade m.m. När ett företag exempelvis anställer en person kommer personuppgifter att behandlas, vilket betyder att reglerna i GDPR måste följas. Reglerna i GDPR måste även följas när ett företaget får en ny kund, oavsett om det handlar om en företagskund där kontaktpersonen är en fysisk person eller om det handlar om en konsument. Det är därför ytterst sällsynt, kanske till och med omöjligt, för ett företag att inte behandla personuppgifter. 

Vissa företag måste lägga mer vikt vid GDPR än andra. Avgörande för detta är t.ex. om bolaget behandlar känsliga personuppgifter eller om behandling av personuppgifter sker i stor skala. Grundprinciperna i GDPR syftar till att motverka att personuppgifter samlas in, behandlas och lagras i större utsträckning än nödvändigt i förhållande till syftet. 

Det är bra att redan nu tänka på GDPR eftersom ju tidigare man introducerar och anpassar GDPR i sin verksamhet, desto smidigare blir det att efterleva reglerna i GDPR framöver. Börja med att analysera vilka personuppgifter (dvs data som kan kopplas till en fysisk person) ni behandlar eller lagrar. Därefter kan man bestämma vilka rutiner som ni bör ha på plats. I stor utsträckning handlar det om enkla rutiner som att informera de personer som ni registrerar och att skydda data från obehörig åtkomst.