Kreutz László, a Fellowes ügyvezető igazgatója a következő lépéseket javasolja:

1. Az év elején érdemes az iratok között is „nagytakarítást” végeznünk, szelektálni, selejtezni, majd a felesleges iratokat biztonságosan megsemmisíteni. 
2. Az első és legfontosabb lépés, hogy azonosítsuk, mi számít személyes adatnak. Csak olyan adatokkal rendelkezhetünk, amelyekre bizonyíthatóan szükségünk van, és amelyekhez jogszerűen jutottunk hozzá.
3. Meg kell határoznunk azt is, hogy kinek, milyen adatokhoz lehet jogszerű hozzáférése a cégnél, és a megfelelő tárolásról is gondoskodnunk kell.
4. Nézzünk utána, hogy az új alapelvek, mint a kifejezett hozzájárulás, az adatok törlésére való jog, az adathordozhatósághoz való jog és a tiltakozáshoz való jog, mind szerepelnek-e a cégünk ügyrendi szabályzatában.
5. Ellenőrizzük, hogy cégünknél van-e a feleslegessé vált adatok biztonságos megsemmisítésére vonatkozó gyakorlat és ehhez elegendő eszköz. Sok veszélytől kímélhetjük meg vállalkozásunkat, ha kartondobozok helyett iratmegsemmisítőt teszünk ki a nyomtató és fénymásoló mellé, valamint a vezetői irodába, mert ezeken a helyeken „termelődik” a legtöbb, visszaélésre alkalmat adó dokumentum. Az iratmegsemmisítők kiválasztásánál gondoljuk át, hogy hol és hányan fogják használni a gépet, illetve egyszerre hány lapot szeretnénk vele ledarálni.
6. Ha mégis baj történne, az adatvédelmi incidens felismerésére, jelentésére és elhárítására mindenképpen dolgozzunk ki egy eljárásmódot. 
7. Nézzük át a szerződéseket, beleértve a beszállítói szerződéseket is. Győződjünk meg róla, hogy az adatvédelem terén a beszállító partnereinkkel szemben vannak szerződéses jogaink és ragaszkodjunk is ezekhez. Arról pedig külön rendelkezni kell, hogy harmadik félnek milyen adatokat lehet átadni.
8. Érdemes adatvédelmi képzést tartani a munkatársaknak, valamint egy adatvédelmi biztost kinevezni a cégnél.
9. Folyamatosan ellenőrizzük, hogy cégünk megfelel-e a GDPR előírásainak, ha probléma lépne fel, azokat azonosítsuk, és minél hamarabb orvosoljuk. 
10. Sose feledjük el, hogy a személyes adat érték, aminek biztonságát állandóan garantálni kell. Nem elég egyszer felkészülni a GDPR-ra, az adatvédelmet folyamatosan gyakorolni kell a mindennapokban.