Uredba bo velik zalogaj za številna podjetja, a kdor se je loti na pravi način, ima več možnosti, da doseže boljši rezultat in ima nižje stroške. Podatkovni strokovnjaki podjetjem svetujejo pet osnovnih korakov:
1. Iskanje (vseh) podatkov
Prvi korak dolge poti doseganja združljivosti z uredbo GDPR se začne z iskanjem podatkov v vseh podatkovnih virih in nosilcih informacij. Ne glede na tehnologijo mora podjetje pregledati dobesedno vse – papirne dokumente, klasična podatkovna skladišča, strežniške gruče, vse naprave, ki imajo sposobnost hranjenja podatkov ... Spopasti se je treba s strukturiranimi in nestrukturiranimi podatki, podatki v gibanju in podatki v mirovanju. Naloga je najti vse lokacije v poslovnem okolju, kjer se hranijo ali obdelujejo (beri: uporabljajo) osebnih podatki strank ali uporabnikov. Dostop do vseh virov podatkov je seveda prvi pogoj izdelave seznama ali zemljevida rabe osebnih podatkov, ki ga bo podjetje potrebovalo za oceno tveganja razkritja podatkov in zasebnosti ter uvedbo pravil varovanja zasebnosti. Pri tem se podjetja preprosto ne morejo zanašati na mnenje zaposlenih, kje bi morda osebni podatki lahko še bili, temveč potrebujejo tehnične rešitve, ki to zanesljivo uredijo. Uredba od organizacij zahteva, da dokažejo, kje imajo osebne podatke – in kje jih nimajo.
2. Prepoznavanje
3. Priprava pravil dela
4. Zaščita osebnih podatkov
Ko je podjetje opravilo »inventuro« osebnih podatkov in postavilo ogrodje za njihovo uporabo, je čas za naslednji korak – ustrezno zaščito podatkov. Z vidika zagotavljanja združljivosti z uredbo GDPR lahko podjetja uporabijo tri tehnike zaščite: enkripcijo, psevdonimizacijo in anonimizacijo. Seveda morajo ustrezno tehniko izbrati glede na kontekst rabe podatkov in pravice uporabnikov, pri čemer morajo paziti, da ne bi nato povsem podrla že postavljenih analitičnih rešitev, sistemov za poizvedbe, poročila in napovedi. »Najlažji način zaščite zasebnosti ob rabi osebnih podatkov je pritisk tipke »Izbriši«. Podjetje naj ohrani zgolj podatke, ki jih potrebuje za delovanje ključnih poslovnih procesov in analize, ki skrbijo za dodajanje vrednosti,« je slikovit Olivier Penel, direktor oddelka Data Management Business v SAS EMEA.
5. Revizija opravljenega dela
Peti korak zagotavljanja skladnosti z uredbo GDPR vključuje revizijo. Če je podjetje uspešno opravilo predhodne korake, bo lahko inšpektorjem in regulatorju postreglo z nedvoumnimi poročili, ki bodo izkazovala, kakšne osebne podatke premore, kje ti so in kaj z njimi počne v svojem okolju. Revizorje bo tudi zanimalo, ali ima podjetje za vse osebne podatke strank in uporabnikov, ki jih premore in obdeluje, ustrezne privolitve. Pokazati bo moralo tudi načine, kako uporablja osebne podatke, v katere namene in kateri zaposleni to počno. Za »konec«, ki to pravzaprav ni, saj skladnost z GDPR ni enkraten projekt, ampak stanje, bodo morala podjetja in organizacije dokazati, da lahko ustrezno izvedejo zahteve, ki izzivajo iz pravice do pozabe, ter znajo ustrezno prepoznati in poročati o varnostnih incidentih, povezanih z osebnimi podatki.