1. Zavést systém ochrany dat

Firmy, které pracují s osobními daty občanů Evropské unie, si budou muset ujasnit, jaká data sbírají a k čemu je využívají. Musí si určit pravidla, jak s nimi budou pracovat. Povinnost platí i pro ty společnosti, které sídlí mimo území unie.

2. Jmenovat odpovědnou osobu

Ti, kteří zpracovávají osobní data ve větším rozsahu, musí jmenovat osobu, která bude za dodržování ochrany dat odpovídat. Má být členem představenstva firmy a šéfovat bude oddělení, které na ochranu osobních údajů v rámci dané společnosti dohlédne. Nesmí ale jít o člověka, který s osobními daty firmy běžně zachází, jako třeba firemní právník nebo IT ředitel, aby nedošlo ke střetu zájmů a spojení funkce kontrolora dat s jejich uživatelem.