Siinkohal tuleb rõhutada, et see protsess ei ole pelgalt formaalsuse järgimine. Isikute kohta käivate andmete kaitsmine on järjepidev protsess, mis on osaks ettevõtte igapäevasest tegevusest.

Juhend kaustas on mõttetu!
Isikuandmekaitse reeglite järgmise protsessidest ja juhenditest on vähe kasu, kuid neid praktikas ei järgita. Seega tuleks neid kindlasti tutvustada töötajatele, kes igapäevaselt puutuvad kokku ettevõttes olevate isikuandmetega. Tutvustamine selles kontekstis ei tähenda kindlasti vaid juhendile allkirja andmist. Soovitatav on töötajaid koolitada, mille eesmärgiks on see, et töötaja oskab igapäevaselt juhenditest ja protsessidest tulenevalt isikuandmeid kaitsta. Samuti ära tunda olukorrad, millal andmed võivad lekkida ja mida sellises olukorras ette võtta. Kindlasti tasub töötajaid väga selgelt teavitada ka sellest, kuidas tööandja oma töötajate andmeid kaitseb. See võib hõlmata ka näiteks tööandja ligipääsu töötajale antud arvutisse või failidesse. Sellise koolituse võiks ettevõtte juhtkond ise läbi viia või küsida abi asjatundjatelt.

Tähelepanu, personalijuhid!
GDPR määrus kohaldub ka isikuandmetele, mis käivad ettevõtte töötajate kohta. Seega on personalijuht isik, kes peab olema eriti ettevalmistatud küsimusteks seoses isikuandmete kaitsega. Töötajad saavad alati pöörduda personalijuhi poole küsimaks milliseid nende kohta käivaid isikuandmeid tööandja kogub ja miks ta seda teeb. Näiteks, ei meeldi tööajale enam tema pilt ettevõtte kodulehel ja ta nõuab selle eemaldamist. Või palub veebist viite „lapsehoolduspuhkusel“ eemaldamist viidates mõlemal juhul isikuandmete kaitsele. Määruse kohaselt peab personalijuht olema valmis andma ja edastama töötajale vastavat teavet. Siinjuures tuleb teada, kas ja millist informatsiooni võib töötajatele edastada ning millisel turvaliselt viisil.

Kokkuvõtvalt, kuna reeglite ja juhendite olemasolu ei taga isikuandmete kaitset ning andmete lekkimise fantaasial ei ole piire, tuleb need töötajatele väga selgelt ja arusaadavalt teatavaks teha.