Az Egyesült Királyság adatvédelmi hivatala (ICO) által javasolt első két lépés:
1. Adatvédelmi tudatosság
Győződjön meg róla, hogy szervezetének döntéshozói és vezetői tudatában vannak annak, hogy a szabályozás az új általános adatvédelmi rendelet (továbbiakban GDPR) értelmében módosul. Fontos, hogy meghatározzák azokat a területeket, melyekre a GDPR hatással lehet.
A GDPR bevezetésének jelentős forrásbeli vonzatai lehetnek, főleg a nagyobb és összetettebb szervezeteknél. A GDPR két éves bevezető periódusának elejét különösen érdemes a közelgő változásokra való figyelemfelhívásra fordítani. Nehezebbnek találhatja az átállást, ha az utolsó pillanatra hagyja az előkészületeket.
2. Tárolt adatok
Dokumentálja az Önnél lévő személyes adatokat, hogy honnan származnak és kivel osztja meg azokat. Szükséges lehet egy adatvédelmi audit a szervezet egészére, vagy az egyes üzleti területekre.
A GDPR az egyes jogokat a jelenlegi, hálózatokon alapuló világhoz igazítja. Ha, például, olyan pontatlan személyes adatok birtokában van, amelyeket egy másik szervezettel is megosztott, tájékoztatnia kell az illetékes szervezetet a pontatlanságról, hogy ők is javíthassák feljegyzéseiket. Ez azonban csak akkor lehetséges, ha tisztában van az Önnél lévő személyes adatokkal, azok származásával, illetve azzal, hogy kivel osztotta meg azokat. Mindezt dokumentálnia kell. Ezáltal eleget tehet a GDPR elszámoltathatósági elvének is, mely megköveteli a szervezetektől, hogy azok számot tudjanak adni az adatvédelmi elvek teljesítéséről, például a hatékony irányelvek és eljárások bevezetése által.
(Forrás: https://dpreformdotorgdotuk.files.wordpress.com/2016/03/preparing-for-the-gdpr-12-steps.pdf)