Kort sagt gjelder reglene for "behandling av personopplysninger". Nesten enhver befatning med personopplysninger vil regnes som "behandling". Med "personopplysning" mener vi en hvilken som helst opplysning om en privatperson.
Den typiske behandlingen vil være bruk av elektroniske/digitale hjelpemidler, for eksempel PC, nettbrett, skytjenester og smarttelefon, dvs. opplysninger du kan finne frem ganske enkelt.
Men også opplysninger som finnes i fysiske dokumenter er omfattet, hvis det er enkelt å finne frem til opplysningene. Et eksempel er fysiske personalmapper, der man har arbeidsavtale mv., sortert på de ansatte eller et fysisk kunderegister sortert på kundenavn.
Hvis det ikke er enkelt å finne frem i fysiske dokumenter, er behandlingen ikke omfattet av reglene. Eksempler på dette er opplysninger i notater du skriver i en fysisk notatblokk, en "7. sans", dokumenter du har liggende på pulten eller et annet sted og en bunke med visittkort. Et testspørsmål er om det vil være ganske enkelt for andre, for eksempel en vikar, å finne frem til opplysningene. Er svaret nei, gjelder ikke reglene for opplysningene.