Πρέπει να κατανοήσουν με σαφήνεια τα προσωπικά δεδομένα που επεξεργάζονται δηλαδή πόσα, ποιες πληροφορίες, πού αποθηκεύονται και με ποιους μοιράζονται. Εάν η εταιρία διαπιστώσει ότι η δραστηριότητά της επεξεργασίας δεδομένων θα δημιουργούσε «υψηλό κίνδυνο» στις απαιτήσεις του GDPR και των «δικαιωμάτων και ελευθεριών» των ατόμων, θα πρέπει να διεξάγει και να τεκμηριώνει μια λεπτομερή αξιολόγηση των επιπτώσεων στην ιδιωτική ζωή, έχοντας κατά νου ότι είναι η έδρα του υποκειμένου των δεδομένων, και όχι η εταιρία, που γενικά καθορίζει ποιος εμπίπτει στο πεδίο εφαρμογής του GDPR.

Οι αρχές είναι πιο πιθανό να "τιμωρήσουν" εταιρίες που δεν είναι καλά προετοιμασμένες και δεν αντιμετωπίζουν παραβιάσεις σύμφωνα με τις βέλτιστες πρακτικές.