RODO w e-commerce

Uruchamiasz sklep internetowy, ale obawiasz się przepisów o ochronie danych osobowych? Przeczytaj poniższy artykuł – dzięki niemu w kilka minut dowiesz się najważniejszych rzeczy o RODO lub uporządkujesz swoją dotychczasową wiedzę.

RODO

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych weszło w życie 25 maja 2018 roku po dwuletnim okresie przejściowym. Rozporządzenie ujednolica przepisy na terenie całej Unii Europejskiej. Przepisy RODO dotyczą ochrony danych osobowych osób fizycznych w związku z ich przetwarzaniem przez podmioty gospodarcze. Obowiązek zastosowania się do RODO mają wszyscy przedsiębiorcy, którzy gromadzą, a później wykorzystują dane dotyczące osób fizycznych. Przepisy rozporządzenia dotyczyć więc będą zarówno dużych korporacji, jednoosobowych firm, czy sklepów internetowych. Uwaga, przepisom RODO będą podlegać także osoby, które nie prowadzą działalności gospodarczej stricte, ale przetwarzają dane w związku z wykonywaniem czynności zawodowych. W porównaniu do dotychczasowych norm RODO zwraca szczególną uwagę na zakres przechowywanych danych, obowiązek informowania osób, których dane dotyczą o celu i czasie przetwarzania danych osobowych, a także podkreślają konieczność jasnego formułowania rozmaitych zgód. 

Czym są dane osobowe?

Może nam przyjść do głowy, że dane osobowe to imię i nazwisko. Jednak poza samym imieniem i nazwiskiem danymi osobowymi są również: adres zamieszkania, numer identyfikacyjny, pseudonim, dane o lokalizacji, identyfikator internetowy i wszelkie inne dane, które pozwalają na identyfikację konkretnej osoby.

Oprócz danych osobowych „zwykłych”, RODO wskazuje również m.in. dane dotyczące zdrowia, poglądów politycznych, orientacji seksualnej. Są to dane z kategorii wrażliwych, które powinny być chronione w szczególny sposób.

RODO zdecydowanie rozszerzyło pojęcie danych osobowych. Mianem danych osobowych możemy określić wszystkie informacje, które umożliwiają nam identyfikację osoby.

Jakie czynności obejmuje przetwarzanie danych osobowych?

Przetwarzanie danych osobowych jest również terminem bardzo szerokim. Dotyczy bowiem nie tylko wykorzystywania zgromadzonych danych, ale także ich zbierania, utrwalania, organizowania, porządkowania, przechowywania, adaptowania lub modyfikowania, pobierania, przeglądania, wykorzystywania, ujawniania poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Reasumując, przetwarzanie oznacza każdą czynność, która jest związana z użyciem danych osobowych. Przetwarzanie danych osobowych musi być oczywiście uzasadnione i konieczne do wykonania usług np. dostawy produktu.

Kim w świetle RODO jest Administrator?

Administrator to podmiot, który ustala cel, w jakim są wykorzystywane dane osobowe oraz sposób ich przetwarzania. To na nim spoczywa obowiązek zadbania o odpowiednie zabezpieczenie danych osobowych.

Podmiot przetwarzający – kto to taki?

Oprócz administratorów, istotną kategoriach w nowych przepisach są tzw. Podmioty przetwarzające. Są to podmioty, które przetwarzają dane w imieniu administratora, wyłącznie na jego polecenie. Te działania uregulowane są umową powierzenia przetwarzania danych osobowych. Wraz z wejściem  RODO możliwe jest zawarcie wspomnianej umowy on-line, bez konieczności przesyłania dokumentów w wersji papierowej. Działania tego typu mają miejsce np. wtedy, kiedy hostingodawca odpowiada za przechowywanie wszelkich informacji z Twojego e-sklepu na swoich serwerach.

wprowadzenie zasady privacy by default – która oznacza wprowadzenie takich środków (zarówno technicznych, jak i organizacyjnych) pozwalających na przetwarzanie tylko danych niezbędnych do określonej operacji.

Obowiązki przedsiębiorcy e-commerce z zakresu ochrony danych osobowych – praktyczne wskazówki krok po kroku.

1. Weź pod uwagę ochronę danych osobowych już na etapie projektowania e-sklepu:

Privacy by design to uwzględnienie ochrony danych w fazie projektowania, innymi słowy – zapewnienie zgodności z RODO, jeszcze zanim zaczniesz przetwarzać dane. Przykład: jeśli planujemy uruchomić sklep internetowy, to zastanawiamy się, jakie będą warunki regulaminu, jaki system informatyczny będzie wykorzystywany do jego świadczenia, a także którzy pracownicy będą zaangażowani w proces sprzedaży. Już na tym etapie powinniśmy odpowiedzieć na pytania: jakie dane osobowe będziemy pozyskiwać? Gdzie klienci znajdą informacje o przetwarzaniu danych? Z kim należy zawrzeć umowę powierzenia przetwarzania?

2. Pamiętaj także o zasadzie Privacy by default:

Co oznacza wdrożenie odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. Przykładowo: kupujemy jakiś produkt i podajemy dane osobowe, to bez dodatkowej zgody sprzedawca nie powinien zapisywać nas do programu lojalnościowego czy konkursu.

3. Zastosuj odpowiednie zabezpieczenia

RODO odchodzi od dotychczasowych sztywnych reguł, na rzecz elastycznych, dobieranych indywidualnie rozwiązań. O tym, czy zostały właściwie dobrane, zadecyduje ich skuteczność. RODO wskazuje jedynie wytyczne w zakresie prawidłowych rozwiązań:

• pseudonimizację i szyfrowanie danych osobowych,
• zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania
• możliwość szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

    Z powyższego można wywnioskować, iż powinieneś regularnie sprawdzać i ulepszać przyjęte procedury.

Zapewnienie bezpieczeństwa to zarówno bezpieczeństwo sieci i systemów, jak i urządzeń mobilnych, pomieszczeń i przede wszystkim odpowiednio przeszkoleni pracownicy. Dbanie o pogłębianie ich wiedzy i świadomości stanowi ważny element w zakresie gwarantowania bezpieczeństwa danych osobowych. Bowiem w każdym systemie bezpieczeństwa to ludzie stanowią jednocześnie najsłabsze i najsilniejsze ogniwo.

4. Regulamin

RODO nie nakłada żadnych szczególnych obowiązków na przedstawicieli branży e-commerce.

W wielu regulaminach e-sklepów znajdują się postanowienia dotyczące przetwarzania danych osobowych. Dobrym pomysłem będzie skrócenie postanowień dotyczących danych osobowych w regulaminie do niezbędnego minimum i umieszczenie w dokumencie aktywnych linków do obowiązku informacyjnego, np. polityki prywatności.

Regulamin nie powinien zawierać zgody na przetwarzanie danych osobowych – RODO wskazuje bowiem, że wszelkie zgody, jakie zbierasz od swoich klientów czy użytkowników, powinny być udzielone świadomie, jednoznacznie i przede wszystkim dobrowolnie. RODO wymaga od administratora większej dbałości i staranności w celu upewnienia się, że zgoda została wyrażona w sposób nie budzący wątpliwości.

5. Obowiązek informacyjny – Polityka prywatności, polityka plików cookies

Aby działać zgodnie z RODO, przedsiębiorca ma obowiązek zapewnienia, że jego klienci poinformowani zostali m.in. o tym, kto, w jakim celu, na jakiej podstawie i jak długo przetwarzać będzie ich dane osobowe.

Oprócz konkretnych treści, które powinny zostać umieszczone w polityce prywatności (dokładnie sprecyzowane w art. 13 RODO), sklepy internetowe powinny zadbać również o umiejscowienie, swojej polityki prywatności. Przede wszystkim klient powinien mieć łatwy dostęp do informacji. RODO nie determinuje technicznych aspektów realizacji obowiązku informacyjnego. W praktyce w wielu e-sklepach klauzula informacyjna umieszczana jest jako osobny, podlinkowany dokument. Warto na swojej stronie internetowej stworzyć widoczną zakładkę, z której jasno będzie wynikać, że klikając w nią, można uzyskać informacje dotyczące przetwarzania danych osobowych.

Polityk plików cookies to kolejny niezbędny dokument, który powinien znaleźć się na stronie internetowej. Administrator informuje klientów o stosowaniu takich plików, ich rodzaju oraz możliwości indywidualnej zmiany ustawień.

6. Zgody

Jeśli chcesz uporządkować kwestie zgód na przetwarzanie danych osobowych to sprawdź, czy w ogóle ich potrzebujesz. Nie trzeba bowiem odbierać zgody, jeśli podstawą do przetwarzania danych jest obowiązek wynikający z przepisu prawa, wykonywanie umowy albo tzw. prawnie uzasadniony interes administratora. Wystarczy posiadać jedną z podstaw prawnych wskazanych w RODO, aby móc legalnie przetwarzać dane osobowe.

W praktyce zatem zbędne będzie umieszczanie pod formularzem zamówienia checkboxa o treści „wyrażam zgodę na przetwarzanie podanych przeze mnie danych osobowych przez XXX w celu realizacji zamówienia”. Samo zawarcie umowy stanowi tutaj podstawę prawną przetwarzania danych. 

 RODO wskazuje, że zgoda dotycząca przetwarzania danych osobowych powinna być:

• dobrowolna,
• świadoma,
• jednoznaczna,
• konkretna

Jeśli zbierasz zgody w formie checkboxu, to okienko powinno być domyślnie odznaczone, a dopiero działanie użytkownika poprzez kliknięcie może powodować zaznaczenie zgody. Dobrowolność zgody będzie zachodziła także wówczas, gdy od jej udzielenia nie będziesz uzależniał sprzedaży produktów czy usług w swoim e-sklepie. Dodatkowa zgoda np. na subskrypcję newslettera powinna być umieszczona osobno i nie można uzależniać od niej sprzedaży.

Dobrowolność zgody nie oznacza zakazu oferowania dodatkowych  korzyści w zamian za wyrażenie zgody. Proponowanie jednorazowego rabatu w zamian za zapisanie się na newsletter będzie jak najbardziej dozwolone.

Świadoma zgoda to taka, którą użytkownik wyraża w sposób aktywny, w pełni zdając sobie sprawę z tego, co robi. Użytkownik musi kliknąć w odpowiednie miejsce zaznaczając checkbox, zatem jego działanie jest nieprzypadkowe.

Zgoda jednoznaczna, wyraźna, to zgoda niezaprzeczalna. Konkretne działanie lub oświadczenie musi być przyzwoleniem na konkretne czynności, których chcesz następnie dokonywać.  

Treść zgody

• Konkretność zgody, to wskazanie w jej treści zgody podać pełną nazwę Twojego przedsiębiorstwa,. Niepoprawne będzie zatem wskazanie „na cele własne i partnerów”,
• Należy wskazać cel i zadbać o to, by nie zbierać danych jednocześnie w kilku niepowiązanych ze sobą celach,
• Określamy jakich kategorii danych osobowych zgoda dotyczy.

Należy pamiętać, że dane klienta, które zostały uzyskane w wyniku zawartej umowy sprzedaży, nie powinny posłużyć do promowania innych produktów, np. poprzez wysyłkę mailową. Oprócz RODO zastosowanie w takim wypadku mają również inne polskie przepisy – ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego, które wskazują obowiązek zbierania zgód na podejmowanie działań marketingowych.

7. Respektowanie praw osób, których dane dotyczą

Zgodnie z przepisami RODO każda osoba, której dane osobowe przetwarzamy jako administrator danych osobowych,  ma prawo do:

1. bycia informowanym o przetwarzaniu danych osobowych,
2. dostępu do swoich danych osobowych,
3. poprawiania, uzupełniania, uaktualniania, sprostowania danych osobowych,
4. usunięcia danych (prawo do bycia zapomnianym),
5. ograniczenia przetwarzania,
6. przenoszenia danych,
7. wniesienia sprzeciwu od przetwarzania danych osobowych,
8. prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
9. niepodlegania profilowaniu,
10. wniesienia skargi do organu nadzorczego (tj. do Prezesa Urzędu Ochrony Danych Osobowych), o którym mowa w art. 77 RODO

Dla Ciebie jako właściciela e-sklepu istotne będą przede wszystkim:

•  prawo do bycia zapomnianym,

•  prawo dostępu do swoich danych wraz z prawem otrzymania ich kopii.

•  sprzeciw wobec przetwarzania danych osobowych (najczęściej dotyczy marketingu bezpośredniego).

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe (prawo do bycia zapomnianym). Jednakże zanim usuniesz dane, sprawdź czy spełniony jest jeden spośród następujących warunków:

1. dane nie są już dłużej niezbędne do realizacji celu, w jakim zostały zebrane lub są przetwarzane;
2. podmiot danych wycofał zgodę na przetwarzanie jego danych osobowych oraz nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie;
3. podmiot danych sprzeciwia się przetwarzaniu oraz nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, lub
4. podmiot danych sprzeciwia się przetwarzaniu jego danych osobowych na potrzeby i w zakresie marketingu bezpośredniego (w tym profilowania);
5. przetwarzanie w inny sposób nie jest lub nie było zgodne z RODO lub innymi przepisami prawa;
6. dane osobowe zostały zebrane w nawiązaniu do oferowania bezpośrednio osobom poniżej 16 lat usług społeczeństwa informatycznego (np. e-handel, portale społecznościowe).

Prawo dostępu klienta do swoich danych to np. możliwość podglądu i modyfikowania swoich danych, a także możliwość przeglądania historii swoich zakupów.

Kopią może być np. raport, który można wygenerować z konta użytkownika (historia konta oraz dane).

Prawo do wniesienia sprzeciwu nie ma charakteru bezwzględnego i nie można go zastosować w każdym przypadku. Wyjątkiem jest przetwarzanie danych w celach marketingowych, gdzie prawo do złożenia sprzeciwu  powinno być zawsze realizowane.

Zgłaszając sprzeciw, osoba której dane dotyczą powinna wskazać swoją szczególną sytuację, z uwagi na którą Administrator nie powinien przetwarzać jej danych osobowych. Zaprzestanie przetwarzania nie będzie możliwe w poniższych sytuacjach:

• Istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania danych, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą lub
• Istnienie podstaw do ustalenia, dochodzenia lub obrony roszczeń.

 Osoba której dane dotyczą może w każdym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby marketingu, w tym profilowania,  w granicach w jakich przetwarzanie jest związane z marketingiem bezpośrednim. Po wniesieniu sprzeciwu nie możesz przetwarzać danych w tym celu.

Skorzystanie zarówno z prawa sprzeciwu, jak i innych praw jest bezpłatne. Pamiętaj, że masz obowiązek odpowiedzieć na żądanie osoby, której dane dotyczą w ciągu miesiąca. W przeciwnym razie klient może wnieść skargę do organu nadzorczego.

8. Zasady

RODO opiera się na poniższych zasadach ogólnych, których należy bezwzględnie przestrzegać:

1. Zasada zgodności z prawem, rzetelności i przejrzystości – przetwarzanie danych może odbywać się wyłącznie w sposób zgodny z prawem. Powinieneś informowanie o celu czynności oraz prawach, jakie ma każda z osób. Dodatkowo zasada ta przypomina o używaniu jasnego i prostego języka, tak by osoba przekazująca dane miała pełną świadomość zakresu, w jakim będą przetwarzane.
2. Zasada ograniczenia celu przetwarzania danych – cel przetwarzania danych powinien być precyzyjnie określony. Powierzonych danych nie można wykorzystywać w celach innych niż te, na które zgodziła się osoba, której dane dotyczą. Każda z wyrażanych przez nią zgód powinna być oddzielna. Domyślne zaznaczać zgód do przetwarzania danych np. w celu marketingowym jest niedopuszczalne.
3. Zasada minimalizacji danych – to gromadzenie  ilości i zakresu danych niezbędnych do wykonania określanych wcześniej czynności. W procesie zakupowym można uniknąć podawania np. daty urodzenia klienta. Do prawidłowego zrealizowania zamówienia wystarczy podanie imienia i nazwiska, adresu e-mail, adresu zamieszkania i telefonu kontaktowego.
4. Zasada prawidłowości danych –Twoim obowiązkiem jest aktualizacja danych osobowych, jeśli zostaniesz poinformowany o zmianach lub błędzie.
5. Zasada ograniczenia przechowania danych – okres przechowywania danych powinien być uzależniony od celu. Po jego zrealizowaniu dane osobowe powinny być usunięte, o ile przepisy szczególne nie nakazują dłuższego okresu przechowywania.
6. Zasada integralności i poufności danych – nakłada obowiązek zabezpieczenia przetwarzania danych przez odpowiednie środki technologiczne oraz organizacyjne.
7. Zasada rozliczalności – pamiętaj, że to na Tobie jako na administratorze danych osobowych ciąży obowiązek udowodnienia, że ich przetwarzanie jest zgodne z prawem. W rezultacie musisz wykazać, że podejmowane przez Ciebie czynności są uzasadnione i odpowiednio zabezpieczone.

9. Dokumentacja

Przepisy RODO, mimo ogólnego i nieco pozornego rozluźnienia w zakresie obowiązku prowadzenia dokumentacji, nakładają na Ciebie jako administratora danych osobowych odpowiedzialność za przestrzeganie przepisów oraz obowiązek wykazania ich przestrzegania (rozliczalność).

Aby uniknąć problemów i w sposób skuteczny zapewnić sobie możliwość wykazania przed organem kontrolnym, że dba się o bezpieczeństwo danych osobowych,  powinieneś posiadać przynajmniej następującą dokumentację:

• Politykę ochrony danych osobowych – dokument ten powinien zawierać m.in.:
• ogólne zasady przetwarzania danych osobowych w przedsiębiorstwie,
• zasady dostępu do danych osobowych – czyli procedurę nadawania i anulowania upoważnień dla pracowników,
• założenia dotyczące realizacji praw osób, których dane dotyczą,
•  procedurę zgłaszania naruszeń bezpieczeństwa danych osobowych,
• procedurę sprawdzenia zgodności przetwarzania danych osobowych i doskonalenia polityki bezpieczeństwa danych osobowych
• sposób zarządzania systemem informatycznym
• Rejestr czynności przetwarzania (dotyczy administratora),
• Rejestr kategorii czynności przetwarzania (dotyczy podmiotu przetwarzającego)
• Rejestr naruszeń ochrony danych osobowych,
• Analiza ryzyka,
• Ocena skutków dla ochrony danych (w sytuacji, gdy dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych),
• Upoważnienia dla pracowników mających dostęp do danych osobowych, a także oświadczenia o poufności,
• zalecane jest także prowadzenie rejestru tych upoważnień;
• wzory Klauzul informacyjnych przedstawiane osobom, których dane osobowe przetwarzamy.
• umowy powierzenia przetwarzania danych osobowych – pamiętaj, iż powierzając przetwarzanie danych osobowych innemu podmiotowi powinieneś dopilnować, aby powierzenie miało formę pisemną, która zobowiąże podmiot przetwarzający do utrzymania standardów gwarantujących bezpieczeństwo danych i zabezpieczy Twoje interesy. Twoim obowiązkiem jest dokonanie przeglądu podwykonawców, ponieważ to Ty, jako administrator odpowiadasz za ich działania.
• 10. Zgłaszanie naruszeń

Jeśli doszło do naruszenia ochrony danych osobowych, Twoim obowiązkiem jest zgłoszenie tego faktu do organu nadzorczego w ciągu 72 godzin od momentu stwierdzenia naruszenia. Jednakże nie każdy incydent będzie podlegał zgłoszeniu. Jeśli jest mało prawdopodobne, że do naruszenie skutkowało ryzykiem naruszenia praw i wolności osób fizycznych – wystarczy odnotować ten fakt w rejestrze naruszeń.

Pamiętaj, że Twoim obowiązkiem jest zawiadomienie osób, których dane dotyczą o wystąpieniu naruszenia ochrony danych osobowych.

11. Wyznaczenie IOD

Głównymi obowiązkami IOD są sprawdzanie zgodności procedur przyjętych w zakresie danych osobowych przez dane przedsiębiorstwo z wymaganiami rozporządzenia, a także bieżące wsparcie przy realizacji obowiązków wynikających z RODO, udzielanie odpowiedzi na żądania osób, których dane dotyczą.

Kiedy powołanie Inspektora Ochrony Danych Osobowych będzie obowiązkowe?

Przede wszystkim – aby IOD był wyznaczony obligatoryjnie – musi być spełniona jedna z następujących przesłanek:

• przetwarzania dokonuje organ lub podmiot publiczny,
• przetwarzanie, które ze względu na swój charakter, zakres lub cele wymaga regularnego i systematycznego monitorowania na dużą skalę osób, których dane dotyczą,
• przetwarzanie na dużą skalę szczególnych kategorii danych osobowych.

Jednakże istnieją profile działalności, gdzie wyznaczenie Inspektora Ochrony Danych jest wskazane. Jeśli platforma ma zakres ogólnopolski, generuje to duże prawdopodobieństwo wystąpienia wycieku danych lub problemów, wobec których konieczne będzie sprawne działanie, a wówczas pomoc IOD będzie nieoceniona.

12. Kary

Nie sposób pominąć faktu, że RODO przewiduje kary za naruszenie przepisów z zakresu ochrony danych osobowych.

Administracyjne kary finansowe są nakładane przez Prezesa Urzędu Ochrony Danych Osobowych w drodze decyzji administracyjnej.

Od decyzji Prezesa Urzędu Ochrony Danych Osobowych można odwołać się do wojewódzkiego sądu administracyjnego.

Przewidziano także możliwość odroczenia uiszczenia kary albo rozłożenia jej na raty – na wniosek ukaranego, z uwagi na ważny interes wnioskodawcy.

Wysokość kar:

• 10 mln euro lub 2% rocznego światowego obrotu przedsiębiorstwa osiągniętego w poprzednim roku obrotowym – dotyczy to w szczególności naruszeń:

–  zasad ochrony danych,

–  w przetwarzaniu danych,

– rejestracji czynności przetwarzania,

– zasad współpracy z organem nadzorczym,

 – zasad bezpieczeństwa danych.

• 20 mln euro lub 4% rocznego światowego obrotu firmy osiągniętego w poprzednim roku obrotowym – dotyczy m.in. następujących naruszeń:

– zasad przetwarzania danych osobowych,

– warunków wyrażania zgody na przetwarzanie danych,

–  naruszenia dostępu danych dla tych osób, których dane są przetwarzane,

–  naruszeń praw osób, których dane dotyczą

Przy nakładaniu kary pieniężnej za naruszenie przepisów RODO, organ nadzorczy bierze pod uwagę takie czynniki jak:

• szkodliwość naruszenia,
• czas trwania naruszenia,
• ilość poszkodowanych osób, cel i zakres przetwarzanych danych,
• czy naruszenie było umyślne, czy nieumyślne,
• jakie działania podjął administrator, żeby zminimalizować szkodę,
• wcześniejsze naruszenia,
• próby usunięcia naruszenia.

RODO w e-commerce – podsumowanie

Jak słusznie wywnioskowałeś z lektury niniejszego artykułu, przepisy RODO nie określają, co konkretnie jako administrator będziesz musiał zrobić aby należycie zabezpieczyć i przechowywać dane osobowe. Działania jakie w tym celu podejmiesz zależą od Ciebie. Niezwykle ważne jest, abyś miał pełną kontrolę nad bezpieczeństwem przetwarzania danych osobowych w Twoim przedsiębiorstwie. W tym pomogą Ci cykliczne przeglądy zabezpieczeń, a także regularne odświeżanie wiedzy z zakresu ochrony danych osobowych – zarówno Twoje, jak i całego zespołu pracującego w strukturach Twojej organizacji.