Vsak podjetnik ima odprto pot do cilja – v tem primeru varnega in odgovornega ravnanja z osebnimi podatki. Lahko je to pravilnik ali kakšna druga oblika notranjega akta oziroma notranjih pravil. Pomembno je, da so pravila prilagojena konkretnemu podjetju in da pokrivajo dejanska tveganja.
GDPR zahteva, da mora vsako podjetje, ki obdeluje osebne podatke svojih zaposlenih ali strank, zagotoviti, da zaposleni spoštujejo zakonodajo o varstvu osebnih podatkov in pri svojem delu upoštevajo tudi pravila za zagotavljanje varne obdelave. V primeru, da bo v praksi prišlo do kršitve, pa bo brez sprejetih notranjih pravil težko nadzornemu organu dokazati odgovorno ravnanje.
Morebitni kazni v primeru kršitve GDPR se je moč izogniti le tako, da podjetje dokaže, da je ravnalo odgovorno in storilo vse, kar je potrebno, da do kršitev ne bi prišlo. Med drugim tudi to, da je sprejelo ustrezna pravila, da zaposleni vedo, kako morajo ravnati, in da so usposobljeni za varovanje osebnih podatkov.
