1. จัดหา / แต่งตั้ง DPO

2. ทบทวนข้อมูลในใบสมัคร เอาเท่าที่จำเป็น

3. ปรับ Procedure สรรหา เพราะสำหรับผู้สมัคร เราอาจยังไม่ต้องขอเอกสารก็ได้ เพื่อลดความเสี่ยง ในการเก็บข้อมูลอ่อนไหวที่ไม่จำเป็น

4. ทบทวนสัญญาจ้าง ถ้ายังไม่มีข้อที่กล่าวถึงการขอเอาไปจัดเก็บ ประมวลผล และทำลาย ตามสิทธิของเจ้าของข้อมูลก็ไปเพิ่มซะจะได้ครอบคลุม

5. จัดทำ HR privacy Policy เน้นเนื้อหาผู้ติดต่อ และสิทธิเจ้าของข้อมูลให้ครบถ้วนเป็นหลัก

6. สำรวจข้อมูลสุขภาพปีก่อนๆของพนักงานพร้อมกำหนดแนวทางเพื่อจัดการข้อมูลเหล่านั้นอย่างเป็นระบบ