Jako první je nutné zjistit, zda se na vás GDPR vůbec vztahuje - nařízením byste se měl zabývat, pokud nakládáte s osobními údaji fyzických osob (osobním údajem je každá informace o identifikované nebo identifikovatelné osobě; identifikovatelnou osobou je osoba, kterou je možné přímo či nepřímo identifikovat, zejména na základě určitého identifikátoru, jako je jméno, číslo či síťový identifikátor, nebo na základě jednoho či více prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby). Lidé se často domnívají, že osobním údajem jsou pouze typické identifikační údaje typu jméno, datum narození a adresa, přičemž si neuvědomují, že tak lze označit například i informace o platu zaměstnance, personalizovanou emailovou adresu či historii prohlížení webových stránek uživatelem.

Pokud osobní údaje fyzických osob zpracováváte, je třeba zaměřit se na to, o jaké údaje se jedná - v této souvislosti se hovoří o provedení data auditu, během něhož je zjištěno, jaké údaje zpracováváte a zda jsou přitom splněny všechny požadavky.

GDPR rozlišuje tzv. zvláštní kategorie osobních údajů ("citlivé údaje"), jejichž zpracování je zakázáno, pokud se neuplatňuje některá ze zákonných licencí. Zákon č. 110/2019 Sb., o zpracování osobních údajů v § 66 odst. 6 vymezuje, jaké údaje mezi citlivé osobní údaje patří - osobní údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání, filozofickém přesvědčení nebo členství v odborech, genetické údaje, biometrické údaje sloužící k jedinečné identifikaci fyzické osoby, údaje o zdravotním stavu, sexuálním životě či sexuální orientaci fyzické osoby a údaje týkající se rozsudků v trestních věcech a trestných činů nebo souvisejících bezpečnostních opatření.

Dále je nutné zkontrolovat, zda jste subjekty údajů (fyzické osoby, jejichž údaje jsou zpracovávány) o zpracování jejich osobních údajů náležitě informoval a zda máte ke zpracování právní důvod (souhlas, plnění smlouvy, právní povinnost, veřejný zájem apod.). Následně je nutné zkontrolovat, zda jste ke zpracování osobních údajů zaměstnanců získal jejich souhlas, jakou formu tento souhlas má, kde je souhlas uložen a zda je jeho existenci možno prokázat. V případě, že dané údaje zpracováváte na základě zákonné povinnosti, není souhlasu zaměstnanců třeba.

Další otázkou, kterou budete řešit, je to, v jaké formě osobní údaje uchováváte a jakou formou probíhá jejich zpracování - zda jsou uloženy v listinné či elektronické formě, zda jsou uloženy v ČR či v zahraničí, zda je zpracováváte sami či prostřednictvím externisty, například mzdové účetní. V případě elektronického uchovávání osobních údajů je nutno podotknout, že pro určení místa uložení je klíčové fyzické úložiště serverů. Na každou formu nakládání s osobními údaji jsou totiž kladeny jiné požadavky.