Szervezési intézkedések
A technológiai intézkedések mellett a szervezési intézkedésekről is kell pár szót ejtenünk. Egy mikrovállalkozás esetén még kevésbé jellemző, hogy különösebb vállalati szervezetről kell beszélnünk, de akár egy pár fős kisvállalkozás esetén is már jól elkülönülő munkakörök jönnek létre.
Ahogy általában a munkaszervezést, az adatvédelmet is valamilyen alapvető logika szerint kell megszerveznünk. A fontos kérdés általában, hogy kinek a munkaköréhez tartozik az adott adatkezelés és úgy kell felépítenünk a gyakorlatot, hogy az ennek megfeleljen.
Például, ha van olyan adminisztrációs munkatárs, aki az új emberek felvételével foglalkozik, akkor az önéletrajzok kizárólag az ő kezébe kerüljenek.
Általános megfontolás, hogy senki ne férjen több adathoz hozzá, mint amennyire a munkájához feltétlenül szükség van. Az olcsó technológiák esetében is általában van lehetőség privilégium beállításokra, például egy egyszerű hálózati tárolónál (NAS) is be lehet állítani, hogy pontosan ki férjen hozzá melyik mappákhoz.
Természetesen a munkafolyamatokat is szükséges lehet finomhangolnunk, szem előtt tartva azt, amit az elmúlt fejezetekben olyan sokat hangsúlyoztunk: az érintettek kockázatát. Egy közepes vagy fokozott kockázatú adatkezelésnél már különösen indokolt, hogy szabályozzuk hogy ki, mihez fér hozzá, hogy elkerüljük a visszaéléseket.
A fentiek meglehetősen általános körbeírása a témának, természetesen ahány vállalkozás annyiféle kihívás és megoldás létezik. A kicsiknek általában ezzel nem kell sokat foglalkozni, a nagyobb cégek a szervezet építésnél pedig természetes módon szembesülnek ezekkel a kérdésekkel. Ami fontos, hogy vállalkozás működtetésén túl az adatkezelési kockázatokat is mindig alaposan mérlegeljük.
Adatvédelmi szabályzat
Gyakran előkerülő szervezési intézkedés, az úgynevezett „adatvédelmi szabályzat” készítése. (Ami nem összetévesztendő az adatkezelési tájékoztatóval.) A szabályzat belső, adatkezelési munkafolyamotokat határoz meg, ezzel biztosítva, hogy az adatkezelési gyakorlat jól definiált legyen. Az ilyen szabályzatok tartalmát az útmutató részleteiben nem tárgyalja, mivel az átlagos KKV-ék esetében ilynre nincs szükség. A rendelet csak akkor követel meg ilyet, ha az a kockázatok tekintetében indokolt [1].
Keretrendszer, tanúsítvány
A fokozott kockázatú adatkezelést végző vállalkozásoknál érdemes olyan keretrendszert alkalmazni, amely komplex módon vizsgálja az információbiztonsági kérdéseket. A GDPR esetén ez leginkább az ISO 27001-et és ISO 27701-et jelenti, amely sok GDPR által támasztott követelményre egyértelmű választ ad.