Odnosi se na organizacije i tvrtke sa više od 20 zaposlenih. Osoba na toj poziciji zadužena je za monitoring, izvještaje te postizanje vjerodostojnosti procesa zaštite podataka. Također, mora implementirati tehničke i organizacijske mjere koje su u skladu s temeljnim načelima Opće uredbe o zaštiti podataka.

Tvrtke i organizacije biti će odgovorne za zaštitu i protok svih osjetljivih podataka koje prikupljaju. Podaci trebaju biti zaštićeni od trenutka prikupljanja do trenutka brisanja. Ovo je krucijalno za osjetljive osobne podatke kao što su podaci o zdravstvenom stanju, financijama te ostalim podacima koje svaka osoba kao građanin ima.

Svi podaci koji se prikupljaju trebaju biti pod privolom, osnosno svaki subjekt treba eksplicitno odobriti da se njegovi podaci mogu pohraniti i koristiti u jasno zadanu svrhu.

Privola može biti u pisanoj formi kao dodatak ugovorima i ostalim dokumentima koji prikupljaju osobne podatke, zatim elektronskom obliku uz obaveznu mogućnost označavanja kvačice kao pristanka u raznim web oblicima komunikacije.

Softversko rješenje treba biti dizajnirano tako da se samim procesom prikupljanja i obrade, čini i zaštita te enkripcija podataka. To znači da se odgovornost o samoj pohrani i dinamici prijenosa ne može prebaciti na osobe koje koriste podatke, jer time bi rizik od greške bio prevelik i sami ljudski faktor činio bi okruženje koje je vrlo ranjivo na greške i propuste. Arhitektura Event Horizon softverskih rješenja ispunjava zadane mjere automatizirane zaštite i enkripcije podataka.

Tvrtke i organizacije trebaju imati zadanu proceduru kojom se postupa prilikom mogućeg proboja podataka ili uslijed nastanka događaja koji se ocijeni rizičnim. Općom uredbom propisane su mjere kojima se zadaju koraci ako se unatoč svim zadanim pravilima, podaci pojave u takvoj situaciji. U tom trenutku tvrtke ili organizacije moraju regirati odmah (unutar 72 sata) u obavještavanju oštećenih subjekata, bez odgode. Svako prikrivanje ili odgoda biti će kažnjavane.

Nova GDPR uredba omogućava slobodno kretanje podataka kroz sve države izvan EU, međutim potrebno je da svi subjekti koji sudjeluju u procesu razmjene podataka, imaju regulirane iste mjere o zaštiti osobnih podataka.

Tvrtke ovdje moraju pripaziti da se to odnosi ne samo na njihove partnere i klijente izvan EU s kojima surađuju, već da se to odnosi i na pružatelje cloud usluga koji su izvan EU, a koji trebaju imati ispunjene sve zahtjeve za zaštitom podataka sukladno GDPR uredbi.

Prikupljanje podataka mora jasno biti definirano kao postupak koji je pod punim pristankom osobe čiji podaci se prikupljaju. Također mora biti jasno definirano zbog kojeg razloga se podaci prikupljaju i kako će se obrađivti.

Organizacije i tvrtke moraju dati subjektima čiji se podaci koriste jednostavnu mogućnost isključivanja (tzv. “Opt-out”) njihovih osobnih podataka iz baze, odnosno brisanja te zaborava.

Sukladnom novom GDPR-u, tvrtke i organizacije trebaju dati mogućnost pseudonimizacije, odnosno obradu osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku.

Potiče se da svaka organizacija i tvrtka na izradu kodeksâ ponašanja kojim se regulira i održava primjena GDPR uredbe.