Kanunu kapsamında şirket yöneticilerine yüklenen “basiretli bir iş insanı gibi davranma” yükümlülüğü, veri güvenliği risklerini önceden öngörmeyi ve bu riskleri azaltacak kurumsal politikaları hayata geçirmeyi de kapsamaktadır. Şirket içindeki veri işleme faaliyetlerinin hukuka uygunluğu, doğrudan yönetim organlarının alacağı stratejik kararlar ve kuracakları iç denetim mekanizmaları ile sürdürülebilir kılınabilir.
Bu iki alanın kesiştiği en somut ve pratik noktalardan biri de ticari sözleşmelere eklenen veri işleme ve aktarım hükümleridir. Şirketlerin üçüncü taraf hizmet sağlayıcılarıyla, alt yüklenicileriyle, bayileriyle veya iş ortaklarıyla gerçekleştirdiği her türlü ticari sözleşmede, tarafların “veri sorumlusu” veya “veri işleyen” sıfatları ve sorumluluk limitleri net bir şekilde tanımlanmalıdır. Hangi verilerin hangi amaçla aktarılacağı, veri güvenliğinin nasıl sağlanacağı, olası bir veri ihlali durumunda tarafların birbirine yap
