Inbyggt dataskydd, privacy by design, handlar om att designa verksamheten utifrån alla perspektiv så att integriteten respekteras. Målet är att det ska ske när rutiner och strukturer utformas och inte i efterhand. Den personuppgiftsansvarige ska genomföra lämpliga organisatoriska åtgärder som till exempel ett dataskyddsombud med tillräcklig kunskap, utbildning av personal och strategier för dataskyddsarbetet. Den personuppgiftsansvarige ska även genomföra lämpliga tekniska säkerhetsåtgärder som till exempel kryptering och pseudonymisering. Därutöver ska den personuppgiftsansvarige i allt arbete se till att de grundläggande principerna för behandling efterlevs.
För att ständigt utveckla sin tekniska och organisatoriska nivå bör organisationen ha i åtanke den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter.