第二，在企业内部构建数据处理机制。一个完善的数据处理机制包括从数据访问、存储、修正、乃至删除的整个过程，它拥有可以按照外部用户或监管机构的要求进行提取展示的能力；在特性上，应该兼顾全面性和专业性。GDPR影响了企业的整个运作流程，客观上要求企业在内部建立一个跨部门的组织，应该包括法律、财务、技术、市场等所有涉及用户个人信息的部门。比如，企业的法律部门首先需要厘清GDPR赋予企业的责任和权利，因为GDPR更多的是侧重于原则上的阐述而非具体的规则，给实施预留了一定的操作空间——而这就需要法律上的咨询建议，以确保企业行为在法规权限内落地实施。此外，财务部门提供资源支撑，技术部门保证实际运作，市场部门则将数据保护作为一项营销策略，用以增强用户好感、提升企业知名度。值得一提的是，企业需要保持与外界的良好沟通，让用户、监管者乃至社会公众了解你为数据保护所做出的努力，构造出一个数据守护者的形象，这无疑会有利于企业的长远发展。

第三，设置数据保护官（Data Protection Officer, DPO）等职位。GDPR第4章第4节明确规定，企业内应指派数据保护人员承担数据保护合规相关职责。在企业内部，要通过组织架构的调整赋予DPO足够权限，确保其可以同其他高管进行顺利沟通，并能争取到足够的资源。在企业外部，GDPR的规则会在不断的实践中逐渐成熟和完善，形成公认的知识经验，因此DPO需要同外界的同行、监管机构、司法系统等保持畅通的交流，以调整和优化企业的数据保护机制。DPO可以是企业内其他管理人员的兼职，如2018年5月东方航空任命总法律顾问郭俊秀为DPO；内部缺乏数据合规相关人才的企业也可以外部聘用DPO，因为GDPR允许一名DPO同时为多个企业工作。

相关报道: