Jeżeli na etapie analizy posiadanych danych osobowych okaże się, że część z nich nie jest niezbędna do świadczenia przedmiotu umowy – warto je usunąć. Jeżeli część danych jest niezbędna jedynie na początkowym etapie pracy – warto je usunąć od razu po jego zakończeniu. Wiele dodatkowych aktywności, niezwiązanych bezpośrednio z przedmiotem umowy (jak na przykład profilowanie klientów), może być wykonywanych na anonimowych rekordach. Warto też zadbać o to, by jak najmniej osób było zaangażowanych w procesy związane z przetwarzaniem danych. Im mniej osób i procesów przetwarzania – tym prostszy i tańszy będzie system zabezpieczeń.
- Efektywne raportowanie.
Projektując proces obsługi incydentów bezpieczeństwa, pamiętaj, że RODO wymaga jedynie publikowania przypadków utraty poufności danych osobowych. Ich liczbę najłatwiej ograniczyć, wprowadzając obowiązkowe szyfrowanie wszystkich mobilnych nośników pamięci. W przypadku obsługi zgłoszeń zaleca się grupować wnioski o udzielenie informacji, obsługiwać je zbiorczo oraz opracować jednolity proces pozwalający pozyskiwać pakiety danych wystarczające na potrzeby większości zapytań.
- Weryfikacja dostawców.
Regulacja nie nakłada obowiązku realizowania wewnątrz firmy wszystkich procesów związanych z bezpieczeństwem były. Wskazuje jednak, aby w przypadku outsourcingu firma posiadała uprawnienia umowne, procesy nadzoru oraz kompetencje pozwalające weryfikować efektywność pracy dostawcy. Podobnie wygląda sytuacja w przypadku procesów przetwarzania danych osobowych. Również można je zlecić na zewnątrz – w takim przypadku konieczne jest zweryfikowanie zabezpieczeń dostawcy (może być deklaratywne) oraz ustalenie parametrów związanych z reakcją na incydenty w umowie dotyczącej poziomu usług.
- Ujednolicenie metod przechowywania i ochrony danych.
Mniejsza liczba lokalizacji, w których przechowywane będą dane osobowe, w znacznym stopniu uprości rozwiązania wymagane do ich ochrony. Można to osiągnąć przez ograniczenie zakresu informacji przechowywanych na komputerach pracowników na rzecz współdzielonych lokalizacji sieciowych.
Podobna zasada dotyczy ochrony (na przykład szyfrowania) i transferu danych. Ujednolicone zasady, uniwersalne dla wszystkich wrażliwych informacji, są tańsze, łatwiej zapadną pracownikom w pamięć, przez co w efekcie będą częściej przestrzegane.