Az új adatvédelmi rendelet betartásánál a legnehezebb talán azt a szemléletváltást meglépni, hogy megfordul a bizonyítási teher. Májustól nem a magánszemélyeknek és a hatóságnak kell bizonyítani, hogy a vállalat megsértette az adatkezelési rendeletben előírtakat, hanem a cégeknek kell igazolniuk, hogy helyesen kezelik a náluk jogszerűen fellelhető adatokat, illetve a feleslegessé váló vagy illetéktelenül birtokukban lévőket megsemmisítik.

„Az új rendelet alapelveinek bevezetése tehát az eddigiektől némileg eltérő megközelítést igényel – hangsúlyozza Kreutz László, a Fellowes Hungary ügyvezetője. – Először is meg kell érteni, hogy ez vállalati szinten majdnem minden területet érint, nem korlátozódik csak a jogi, IT vagy HR osztályokra. Másrészt azzal az attitűddel kell szakítani, hogy minél több adatot minél szélesebb körben osszunk meg. Májustól csak az férhet az adatokhoz, akinek arra a rendelet értelmében megokolható jogosultsága lesz. Fontos kiemelni azt is, hogy az új szabályozás épp úgy vonatkozik a papíralapú adatokra, mint a digitálisan kezeltekre, és nem elég csak a májusi indulásra felkészülni, ez onnantól folyamatos adatvédelmi feladatokat ró majd a vállalkozásokra.”

Néhány tanács a felkészüléshez:

1. Végezzen adatvédelmi hatásvizsgálatot! Először is azonosítsa be, hogy mi számít személyes adatnak. Csak olyanok legyenek a cége birtokában, amelyekre bizonyíthatóan szükség van és jogszerűen jutott hozzá;
2. Készítsen eltérés-elemzést, nézze meg, hogy cégénél milyen eltérések vannak az eddigi adatkezelési gyakorlatban a GDPR-ban előírtakhoz képest;
3. Dolgozzon ki olyan megoldásokat és mielőtt megvásárolná vagy bevezetné, tesztelje azokat, amelyekkel a jövőben eleget tud tenni a GDPR-nak;
4. Győződjön meg róla, hogy rendelkezik a már szükségtelen adatok biztonságos megsemmisítésére vonatkozó gyakorlattal és eszközökkel; a biztonság kedvéért helyezzünk el iratmegsemmisítőket a nyomtató és fénymásoló mellé, valamint a vezetői irodában
5. Határozza meg, hogy kinek, milyen adatokhoz lehet jogszerű hozzáférése a cégnél, gondoskodjanak a megfelelő tárolásról;
6. Bizonyosodjon meg róla, hogy az új alapelvek, mint a kifejezett hozzájárulás, az adatok törlésére való jog, az adathordozhatósághoz való jog és a tiltakozáshoz való jog, mind szerepelnek az ügyrendi szabályzatokban;
7. Dolgozzon ki eljárásmódot az adatvédelmi incidens jelentésére és elhárítására. Próbálja ki ezt úgy, mintha tűzvédelmi gyakorlatot tartana;
8. Vizsgálja át a vállalatánál megtalálható szerződéseket, beleértve a beszállítói szerződéseket is. Győződjön meg róla, hogy az adatvédelem terén a beszállító partnereivel szemben vannak szerződéses jogai és ragaszkodjon is ezekhez. A beszerzési folyamatokba be kell építeni elvárásként a rendeletnek való megfelelést;
9. Külön rendelkezni kell arról, hogy harmadik félnek milyen adatokat lehet átadni;
10. Indítson adatvédelmi képzést a kollégáinak, vegye fontolóra adatvédelmi biztos kinevezését;
11. Rendszeresen vizsgálja meg, hogy meg tud-e felelni cége a GDPR-nak, azonosítsa az esetleges problémákat és orvosolja azokat;
12. Számoljon azzal, hogy májusig ez egy intenzív felkészülési szakaszt jelent cége életében, el kell végezni a selejtezést és gondoskodni kell a fölösleges iratok biztonságos megsemmisítéséről. Május után pedig folyamatosan kell végezni ezt a tevékenységet, hogy cége eleget tudjon tenni a GDPR-ban előírtaknak.