Domyślna ochrona danych (privacy by defeult) oznacza, że organizacja powinna wziąć pod uwagę ochronę danych już na wczesnych etapach planowania nowej czynności przetwarzania danych osobowych. Zgodnie z tą zasadą administrator danych osobowych musi podjąć wszelkie niezbędne działania organizacyjne i techniczne, żeby wdrożyć zasady ochrony danych oraz móc chronić prawa osób, których dane dotyczą. Takie działania mogą na przykład obejmować pseudonimizację.