Obowiązek RODO obejmuje wszystkie typy przedsiębiorstw — od osób prowadzących samodzielnie działalność gospodarczą, przez małe firmy po duże korporacje. Jednym z najważniejszych problemów będzie dostosowanie do nowych regulacji elektronicznego obiegu dokumentów w firmie.
Pierwszym krokiem w wyborze rozwiązania do obiegu dokumentów jest ocena i przeanalizowanie rodzajów ryzyka, jakie występują w branży i w samej firmie. Dokonując tego wyboru, warto pamiętać, że na żądanie instytucji i urzędów nadzorujących wykonanie RODO będzie trzeba wykazać, że dane rozwiązanie zostało dobrane pod kątem zgodności z zasadami przetwarzania danych. Następnym etapem jest sprawdzenie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz ich aktualizacja. Przedsiębiorcy będą musieli wskazać środki bezpieczeństwa i procedury bezpiecznego przetwarzania danych, w tym również działań, jakie muszą być podjęte na wypadek ich wycieku.
W polityce bezpieczeństwa przygotowanej dla firmy muszą znaleźć się wykazy zabezpieczeń fizycznych i technicznych, określenie, gdzie dokładnie przetwarzane są dane, oraz spis programów, jakie używane są do ich przetwarzania. Drugim elementem jest instrukcja. To praktyczny spis procedur bezpieczeństwa stosowanych w firmie, dotyczący typów nadawanych uprawnień, uwierzytelniania, autoryzacji oraz stosowania i rozwoju narzędzi programistycznych. Ważne, aby instrukcje postępowania w przypadku zagrożeń, jakimi są wycieki danych czy ataki hakerskie, znajdowały się nie tylko u administratora, ale by zostały rozpowszechnione w całej firmie jako dokumenty wewnętrzne. RODO wymaga, aby istniały gotowe rozwiązania tych problemów i były przygotowane scenariusze działań na wypadek sytuacji nieuprawnionego dostępu do danych wrażliwych lub ataku na firmę. Te informacje powinny być ujęte w gotowych procedurach operacyjnych przedsiębiorstwa. Oznacza to również, że powinny wejść w skład poufnej dokumentacji związanej z elektronicznym obiegiem dokumentów.
Następnym krokiem po dostosowaniu systemów IT do wymagań unijnych lub wdrożeniu nowego systemu, który spełnia te kryteria — oraz przygotowaniu jednolitej dokumentacji dla EOD — jest przeszkolenie wszystkich pracowników zajmujących się przetwarzaniem danych osobowych.
W przypadku biura rachunkowego istotne jest, aby podmiot przetwarzający dane na zlecenie zawarł Umowę z administratorem danych tzw. umowę powierzenia, w której zostaną określone zasady przetwarzania danych. Jest to tzw. upoważnienie do przetwarzania danych osobowych.
Kolejnym elementem koniecznym do wdrożenia jest rejestr czynności przetwarzania danych osobowych jest elementem dokumentacji ochrony danych. Dotyczy nie tylko dużych przedsiębiorstw, ale również małych firm, które przetwarzają dane w sposób niesporadyczny, a więc również biur rachunkowych. Może być prowadzony w formie pisemnej bądź w wersji elektronicznej.
Ponadto, RODO nakłada prawny obowiązek informowania o incydentach bezpieczeństwa dotyczących danych osobowych (np zgubienie nośnika z danymi).