U sklopu radionice predstavljeni su osnovni pojmovi vezani uz GDPR (voditelj obrade, izvršitelj obrade, osobni podaci, ispitanik), uz primjere iz prakse kako bi sudionici mogli vidjeti na koje se sve načine određuje svrha prikupljanja osobnih podataka s obzirom na specifičnosti nečijega poslovanja. Opisano je i kako izgleda evidencija aktivnosti obrade i pod kojim se uvjetima ona mora voditi te kako voditi računa o rokovima za brisanje različitih kategorija podataka, kao i nadzor agencije te koji su to osnovni dokumenti koje AZOP traži prilikom provjere usklađenosti poslovanja s GDPR-om.

Često je kod malih, srednjih i mikro poduzetnika problem identificirati tko je voditelj obrade, a tko je izvršitelj obrade, što je pojašnjeno na primjeru knjigovodstvenoga servisa. U nekim slučajevima mogu postojati i zajednički voditelji obrade, kao što je primjer putničke agencije, hotelskoga lanca i aviokompanije koji su zajednički uspostavili web stranicu za prodaju paket aranžmana.

Ono što je poduzetnicima važno znati i što se točno može smatrati osobnim podatkom. To su svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, dok je obrada svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka te se može vršiti automatiziranim ili neautomatiziranim sredstvima.

Pojašnjena su i načela kojima se moraju voditi prilikom obrade osobnih podataka. Tako nije moguće obrađivati podatak izvan svrhe za koju je prikupljen. Moraju biti primjereni, ograničeni s obzirom na svrhu, na ono što je nužno te čuvani samo onoliko dugo koliko je potrebno za svrhu radi koje se obrađuju.