Jak przebiega współpraca?

• Dodaj produkt do koszyka i dokonaj płatności.
• Po zakupie otrzymasz od nas ankietę z pytaniami dotyczącymi Twojej działalności.
• W oparciu o tę ankietę przygotujemy za Ciebie analizę ryzyka, która jest wymaga przez RODO i która powinna być aktualizowana co najmniej raz na 2 lata.
• Otrzymasz od nas pozostałą aktualną dokumentację RODO wraz z instrukcją dostosowania jej do Twojej działalności (klauzulę informacyjną RODO dla Klientów, wewnętrzną procedurę ochrony danych osobowych wraz ze wszystkimi niezbędnymi załącznikami, procedurę zgłaszania naruszeń, procedurę privacy by default, zasady przetwarzania danych zgodnie z RODO).
• Otrzymasz od nas szczegółowe wskazówki i porady dotyczące wdrożenia zaktualizowanego RODO.
• Udostępnimy e-szkolenie dla Ciebie i Twoich pracowników uwzględniające wymogi RODO oraz wymogi wynikające z ustawy o AML (termin: listopad 2021 r.)
• Wyślemy Ci imienny certyfikat dla każdej osoby z Twojej firmy, która ukończy nasze e-szkolenie.
• Usługa świadczona w 100% online.

Co zawiera Pakiet?

• Gotową dostosowaną do Twojej działalności analizę ryzyka naruszenia ochrony danych osobowych
• Pakiet dokumentów wraz z instrukcją dostosowania dokumentów do Twojej działalności
• Filmiki instruktażowe, w których pokazujemy w jaki sposób uzupełnić np. upoważnienia dla pracowników o dane pracowników (dotyczy tych dokumentów, które wymagają uzupełnienia przez Biuro).
• Szkolenia i certyfikat
• Wsparcie techniczne dotyczące otrzymanych dokumentów

Co otrzymasz w Pakiecie dokumentów?

• Politykę ochrony danych osobowych dla biura rachunkowego uwzględniającą przepisy AML,
• Analizę powołania inspektora ochrony danych,
• Procedurę zgłaszania naruszeń i Rejestr naruszeń,
• Procedurę obsługi próśb i żądań osób, których dane dotyczą,
• Klauzulę informacyjną dla Klientów uwzględniająca przepisy o przeciwdziałaniu prania pieniędzy i finasowaniu terroryzmu,
• Analizę czy zachodzi profilowanie danych,
• Procedurę dot. ochrony danych w wersji BETA,
• Klauzule informacyjne dotyczące rekrutacji, wizerunku, danych do celów marketingowych,
• Rejestr czynności przetwarzania,
• Rejestr kategorii przetwarzań,
• Umowy powierzenia,
• Monitoring (o ile dotyczy)
• Zasady pracy zgodnie z RODO,

Ile to potrwa?

Po złożeniu zamówienia i jego opłaceniu, otrzymasz od nas ankietę merytoryczną, w oparciu o którą przygotujemy dokumenty dla Twojego biura rachunkowego.

W terminie 7 – 14 dni otrzymasz od nas gotową analizę ryzyka przeprowadzoną przez nas w oparciu o odpowiedzi udzielone w ankiecie merytorycznej.

Dodatkowo:

• otrzymasz Pakiet pozostałych dokumentów wraz z instrukcją dostosowania
• dostęp do e-szkolenia RODO (termin: listopad 2021 r.)
• wsparcie techniczne dotyczące otrzymanych dokumentów

Gwarancja rzetelności

Przygotowane przez naszą kancelarią prawną procedury objęte są gwarancją rzetelności. Oznacza to, że gdyby pojawiły się nowe interpretacje przepisów prawa – w ciągu 6 miesięcy od dnia zakupu – powodujące konieczność zmiany procedur – bezpłatnie w ramach gwarancji zakupu otrzymasz suplement aktualizujący Twoje procedury.

Oferujemy kompleksowe i zgodne z obowiązującymi przepisami, procedury dotyczące RODO, których wdrożenie muszą zapewnić biura rachunkowe na podstawie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

oraz poniższych krajowych aktów prawnych

• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych,
• Ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy,
• Ustawa z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych,
• Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną,
• Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne,
• Ustawa z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych,
• Ustawa z dnia 14 grudnia 2018 r o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
• ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu
• Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679
• Ustawa z dnia 30 marca 2021 r. o zmianie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu oraz niektórych innych ustaw (w tym w zakresie zmian wchodzących w życie z dniem 31.10.2021)

Dodatkowe informacje dot. zwartości merytorycznej naszego pakietu

Przygotowana przez nas aktualizacja dokumentacji uwzględnia także zmiany w przepisach sektorowych które wprowadzone zostały przede wszystkim w ramach nowelizacji przyjętej Ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako: „Ustawa sektorowa”).

Jak wskazano w uzasadnieniu do projektu Ustawy sektorowej celem tej nowelizacji było „dostosowanie polskiego porządku prawnego do RODO m.in. przez usunięcie przepisów, które są sprzeczne z RODO lub które powielają rozwiązania RODO, a (…) także dostosowanie RODO do specyfiki polskiego porządku prawnego”.

W ramach tej nowelizacji wprowadzono zmiany w ponad 160 ustawach regulujących różne branże i obszary gospodarki (m.in: administracja publiczna, oświata, kadry, rynek telekomunikacyjny, bankowość, działalność lecznicza, działalność ubezpieczeniowa, działalność prawnicza i doradcza).

Z punktu widzenia pracodawców, niewątpliwie najważniejsze były zmiany w ustawach regulujących materię prawa pracy i spraw kadrowych, takich jak Kodeks pracy oraz Ustawa o zakładowym funduszu świadczeń socjalnych.

Jak zacząć?

Najprościej i najszybciej jak się tylko da – możesz złożyć zamówienie bezpośrednio w naszym e-sklepie (przechodząc prosta ścieżkę zakupową podasz nam dane do wystawienia faktury i będziesz mieć możliwość opłacenia zamówienia online). Jeśli potrzebujesz wcześniej dopytać o coś skontaktuj się z nami! Jak wolisz – telefonicznie, poprzez formularz kontaktowy lub e-mailowo.

Nasze dane kontaktowe (numery telefonów oraz email) znajdziesz na dole strony. Doradcy z Działu Obsługi Klienta wyślą Ci pisemną ofertę z zakresem naszej usługi, ceną oraz informacją o dalszej ścieżce postepowania. Czekamy zatem na kontakt od Ciebie!

Zamów KOMPLET DOKUMETÓW RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. zawiera bardzo szczegółowe wymogi dla firm i organizacji dotyczące gromadzenia i przechowywania danych osobowych i zarządzania nimi. Ma ono zastosowanie zarówno do europejskich organizacji przetwarzających dane osobowe osób fizycznych w UE, jak i do organizacji spoza UE kierujących swoją ofertę do mieszkańców Unii.

Kiedy należy stosować ogólne rozporządzenie o ochronie danych (RODO)?

RODO stosuje się, gdy:

• Twoje przedsiębiorstwo przetwarza dane osobowe i ma siedzibę w UE, bez względu na to, gdzie faktycznie dochodzi do przetwarzania danych
• Twoje przedsiębiorstwo ma siedzibę poza UE, ale przetwarza dane osobowe w związku z oferowaniem towarów lub usług osobom fizycznym w UE lub monitoruje zachowania osób fizycznych w Unii.

Przedsiębiorstwa spoza Unii przetwarzające dane obywateli UE muszą wyznaczyć swojego przedstawiciela w Unii.

Kiedy nie stosuje się ogólnego rozporządzenia o ochronie danych (RODO)?

RODO nie stosuje się, gdy:

• osoba, której dane dotyczą, nie żyje
• osoba, której dane dotyczą, jest osobą prawną
• dane są przetwarzane w celach niezwiązanych z działalnością handlową, gospodarczą lub zawodową osoby przetwarzającej dane.

Co to są dane osobowe?

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie, zwanej także podmiotem danych. Dane osobowe obejmują następujące informacje:

• imię i nazwisko
• adres
• numer dowodu tożsamości/paszportu
• dochody
• cechy kulturowe
• adres IP
• dane będące w posiadaniu szpitala lub lekarza (jednoznacznie identyfikujące daną osobę w celach medycznych).

Szczególne kategorie danych

Zabronione jest przetwarzanie danych osobowych dotyczących:

• pochodzenia rasowego lub etnicznego
• orientacji seksualnej
• poglądów politycznych
• przekonań religijnych lub filozoficznych
• przynależności do związków zawodowych
• danych genetycznych, biometrycznych i zdrowotnych, poza szczególnymi przypadkami (np. gdy uzyskano wyraźną zgodę na ich przetwarzanie lub gdy przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym zgodnie z prawem unijnym lub krajowym)
• danych osobowych dotyczących wyroków skazujących i naruszeń prawa, chyba że pozwala na to prawo unijne lub krajowe.

Kto przetwarza dane osobowe?

Podczas przetwarzania dane trafiają niekiedy do wielu różnych przedsiębiorstw lub organizacji. W cyklu tym występują dwa główne podmioty zajmujące się przetwarzaniem danych osobowych:

• Administrator danych – decyduje o celu i sposobie przetwarzania danych.
• Przetwarzający – przechowuje i przetwarza dane w imieniu administratora danych.

Kto monitoruje sposób przetwarzania danych osobowych wewnątrz przedsiębiorstwa?

Inspektor ochrony danych, którego przedsiębiorstwo może wyznaczyć, jest odpowiedzialny za monitorowanie sposobu przetwarzania danych osobowych oraz informowanie pracowników przetwarzających dane osobowe o ich obowiązkach i doradzanie im w tym zakresie. Inspektor ochrony danych współpracuje także z organem ochrony danych, służąc jako punkt kontaktowy dla tego organu i osób fizycznych.

Kiedy należy wyznaczyć inspektora ochrony danych?

Twoja firma musi wyznaczyć inspektora ochrony danych, jeśli:

• regularnie lub systematycznie monitorujesz osoby fizyczne lub przetwarzasz szczególne kategorie danych
• przetwarzanie danych stanowi główny przedmiot Twojej działalności
• przetwarzasz dane na dużą skalę.

Masz na przykład obowiązek wyznaczyć inspektora ochrony danych, jeśli przetwarzasz dane osobowe w celu kierowania reklam do konkretnych konsumentów za pośrednictwem wyszukiwarek internetowych w oparciu o zachowania konsumentów w sieci. Jeśli jednak jedynie wysyłasz swoim klientom raz w roku materiały promocyjne, inspektor ochrony danych nie jest Ci potrzebny. Podobnie jeśli jako lekarz gromadzisz dane na temat stanu zdrowia pacjentów, prawdopodobnie nie potrzebujesz inspektora ochrony danych. Jeśli jednak przetwarzasz dane genetyczne lub dotyczące stanu zdrowia dla szpitala, wyznaczenie inspektora będzie niezbędne.

Inspektorem ochrony danych może być pracownik Twojej organizacji lub osoba z zewnątrz zatrudniona na podstawie umowy o świadczenie usług. Inspektorem może być osoba fizyczna lub część organizacji.

Przetwarzanie danych dla innego przedsiębiorstwa

Administrator danych może korzystać wyłącznie z usług podmiotu przetwarzającego oferującego wystarczające gwarancje. Powinny one być uwzględnione w pisemnej umowie pomiędzy stronami. W umowie musi się także znaleźć szereg obowiązkowych zapisów, takich jak ten, że przetwarzający będzie przetwarzał dane osobowe tylko na polecenie administratora danych.

Przekazywanie danych poza Unię

Za każdym razem, gdy dane osobowe są przekazywane poza UE, muszą być chronione na podstawie RODO. Oznacza to, że jeśli eksportujesz dane za granicę, Twoja firma musi spełnić jeden z poniższych warunków (lub upewnić się, że jest on spełniony):

• Unia Europejska uznaje środki ochrony danych obowiązujące w kraju docelowym niebędącym członkiem Unii za odpowiednie.
• Twoja firma podejmuje niezbędne działania, aby zapewnić odpowiednie zabezpieczenia takie jak włączenie konkretnych klauzul do umowy z podmiotem spoza Unii będącym odbiorcą danych.
• Twoja firma przekazuje dane w oparciu o szczególne podstawy (wyjątki), takie jak zgoda osoby fizycznej, której dane dotyczą.

Kiedy dozwolone jest przetwarzanie danych?

Unijne przepisy dotyczące ochrony danych wymagają, aby dane były przetwarzane uczciwie i zgodnie z prawem, w konkretnym, prawnie uzasadnionym celu – i tylko takie dane, które są potrzebne do tego celu. Aby móc przetwarzać dane osobowe, musisz spełnić jeden z następujących warunków; jeżeli:

• otrzymasz zgodę osoby, której dane dotyczą
• potrzebujesz danych osobowych do wypełnienia zobowiązania umownego względem osoby, której dane dotyczą
• potrzebujesz danych osobowych do spełnienia obowiązku prawnego
• potrzebujesz danych osobowych, aby chronić żywotne interesy osoby, której dane dotyczą
• przetwarzasz dane osobowe, aby wykonać zadanie leżące w interesie publicznym
• działasz w uzasadnionym interesie swojej firmy, o ile nie wpływa to istotnie na podstawowe prawa i wolności osoby, której dane są przetwarzane. Nie możesz przetwarzać danych osoby, której prawa są nadrzędne wobec interesów Twojej firmy.

Zgoda na przetwarzanie danych

W RODO przewidziano ścisłe zasady przetwarzania danych na podstawie zgody. Ich celem jest zapewnienie, by osoba fizyczna rozumiała, na co wyraża zgodę. Oznacza to, że zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna, a zapytanie o zgodę musi być wyrażone jasnym i prostym językiem. Zgoda powinna być wyrażona w formie działania potwierdzającego, np. przez zaznaczenie pola wyboru na stronie internetowej lub podpisanie formularza.

Jeśli otrzymasz zgodę na przetwarzanie danych osobowych, możesz przetwarzać je tylko w celach, na które wyrażono zgodę. Musisz także umożliwić wycofanie zgody.

Udzielanie przejrzystych informacji

Musisz poinformować w sposób zrozumiały osoby fizyczne o tym, kto i dlaczego przetwarza dane osobowe na ich temat. Musisz przekazać co najmniej następujące informacje:

• kim jesteś
• dlaczego przetwarzasz dane osobowe
• na jakiej podstawie prawnej
• kto otrzyma dane (w stosownych przypadkach).

W niektórych przypadkach musisz także:

• podać dane kontaktowe inspektora ochrony danych (w stosownych przypadkach)
• wskazać uzasadniony interes firmy, jeśli przetwarzanie danych opiera się na takiej podstawie prawnej
• wskazać środki stosowane przy przekazywaniu danych do kraju spoza UE
• podać okres przechowywania danych
• poinformować o prawach osoby fizycznej związanych z ochroną jej danych (tj. prawo dostępu do danych, do ich poprawienia, usunięcia, do ograniczenia ich przetwarzania, cofnięcia zgody na ich przetwarzanie, prawa do sprzeciwu, prawa do przenoszenia danych itd.).
• wskazać sposób cofnięcia zgody (jeśli zgoda stanowi podstawę prawną przetwarzania danych)
• wskazać ewentualne zobowiązania ustawowe lub umowne przewidujące przekazanie danych
• w przypadku zautomatyzowanego podejmowania decyzji poinformować o zasadach podejmowania decyzji, jej znaczeniu i konsekwencjach.

Informacje te powinny być przedstawione jasnym i prostym językiem.

Szczególne zasady dotyczące dzieci

Jeśli gromadzisz dane osobowe dziecka na podstawie zgody, na przykład przy użyciu konta w mediach społecznościowych lub konta do pobierania materiałów z internetu, musisz najpierw uzyskać zgodę rodziców, np. przesyłając powiadomienie rodzicowi lub opiekunowi. Wiek osoby uznawanej za dziecko zależy od jej miejsca zamieszkania; jest to od 13 do 16 lat.

Prawo dostępu do danych i do przenoszenia danych

Musisz zapewnić osobom fizycznym prawo bezpłatnego dostępu do ich danych osobowych. Jeśli wystąpią z takim żądaniem, masz obowiązek:

• poinformować je, czy przetwarzasz ich dane osobowe
• poinformować je o procesie przetwarzania (celu, kategoriach danych osobowych, odbiorcach itd.)
• przekazać im kopię przetwarzanych danych osobowych (w przystępnym formacie).

W przypadku przetwarzania danych na podstawie zgody lub umowy osoba fizyczna może także poprosić o zwrócenie jej danych osobowych lub przekazanie ich innemu przedsiębiorstwu. Jest to tzw. prawo do przenoszenia danych. Powinieneś przekazać dane w powszechnie używanym formacie nadającym się do odczytu maszynowego.

Prawo do poprawienia danych i prawo do sprzeciwu

Osoba fizyczna, która uważa, że jej dane osobowe są nieprawidłowe, niekompletne lub niedokładne, ma prawo do ich niezwłocznego sprostowania lub uzupełnienia.

Jeśli zmieniłeś lub usunąłeś dane osobowe, które uprzednio udostępniłeś innym, powinieneś poinformować o tym wszystkich odbiorców takich danych. W przypadku udostępnienia nieprawidłowych danych osobowych masz także obowiązek poinformować o tym każdego, kto widział takie dane, chyba że wymagałoby to nieproporcjonalnego wysiłku.

Osoba fizyczna może także w każdej chwili sprzeciwić się przetwarzaniu swoich danych osobowych w konkretnym celu, gdy podstawą prawną przetwarzania danych jest uzasadniony interes lub zadanie wykonywane w interesie publicznym. Jeżeli Twój uzasadniony interes nie jest nadrzędny wobec interesu osoby fizycznej, musisz zaprzestać przetwarzania danych osobowych.

Osoba fizyczna może również poprosić o ograniczenie zakresu przetwarzania swoich danych osobowych na czas ustalania, czyj interes jest nadrzędny. W przypadku marketingu bezpośredniego jesteś jednak zawsze zobowiązany do zaprzestania przetwarzania danych osobowych na prośbę osoby fizycznej.

Prawo do usunięcia danych (prawo do bycia zapomnianym)

W pewnych okolicznościach, np. gdy dane nie są już potrzebne do celu ich przetwarzania, osoba fizyczna może poprosić administratora danych o usunięcie swoich danych osobowych. Niemniej Twoja firma nie musi tego robić, jeśli:

• przetwarzanie jest konieczne do poszanowania wolności wypowiedzi i informacji
• obowiązek przechowywania danych osobowych ciąży na Tobie z mocy prawa
• dane muszą być przechowywane z innych względów związanych z interesem publicznym, takich jak zdrowie publiczne lub badania naukowe i historyczne
• przechowywanie danych osobowych jest niezbędne do ustalenia roszczenia.

Zautomatyzowane podejmowanie decyzji oraz profilowanie

Osoby fizyczne mają prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu. Istnieją jednak pewne wyjątki od tej zasady, np. udzielenie wyraźnej zgody przez osobę, która podlega takiej decyzji. Z wyjątkiem sytuacji, gdy zautomatyzowane podejmowanie decyzji wynika z przepisów prawa, Twoja firma ma obowiązek:

• poinformować osobę fizyczną o zautomatyzowanym podejmowaniu decyzji
• przyznać osobie fizycznej prawo do zażądania zweryfikowania automatycznej decyzji przez człowieka
• umożliwić osobie fizycznej zakwestionowanie zautomatyzowanej decyzji.

Przykładowo, jeśli bank podejmuje w sposób zautomatyzowany decyzję, czy udzielić pożyczki danej osobie, osoba ta powinna zostać o tym poinformowana oraz mieć możliwość zakwestionowania takiej decyzji oraz zażądania ingerencji człowieka.

Naruszenia ochrony danych – właściwe powiadomienie

Naruszenie ochrony danych to przypadkowe lub niezgodne z prawem ujawnienie nieupoważnionym odbiorcom danych, za które jesteś odpowiedzialny, a także spowodowanie czasowej niedostępności takich danych lub ich zmiana.

Jeśli dojdzie do naruszenia ochrony danych i zagraża to prawom i wolnościom osoby fizycznej, powinieneś w ciągu 72 godzin od stwierdzenia naruszenia poinformować o tym swój organ ochrony danych.

W zależności od tego, czy naruszenie ochrony danych stanowi wysokie ryzyko dla osób, których dane dotyczą, Twoja firma może także mieć obowiązek odpowiedniego poinformowania wszelkich takich osób.

Odpowiadanie na wnioski dotyczące ochrony danych

Gdy Twoja firma otrzyma wniosek od osoby, która chce wykonać swoje prawa, powinieneś odpowiedzieć nie bez zbędnej zwłoki, a w każdym razie najpóźniej w ciągu 1 miesiąca od otrzymania wniosku. Czas na odpowiedź może zostać przedłużony o 2 miesiące w przypadku skomplikowanych i złożonych wniosków, pod warunkiem poinformowania o tym wnioskującego. Rozpatrywanie wniosków powinno być bezpłatne.

W przypadku odrzucenia wniosku należy poinformować osobę wnioskującą o powodach odrzucenia oraz o przysługującym jej prawie do złożenia skargi do organu ochrony danych.

Ocena skutków

Przeprowadzenie oceny skutków w zakresie ochrony danych jest obowiązkowe, gdy planowane przetwarzanie danych mogłoby wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, na przykład w przypadku korzystania z nowych technologii.

Wysokie ryzyko występuje, gdy:

• do oceny osób fizycznych stosuje się zautomatyzowane przetwarzanie danych oraz profilowanie
• miejsca publicznie dostępne są monitorowane na dużą skalę (np. z wykorzystaniem telewizji przemysłowej)
• szczególne kategorie danych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa są przetwarzane na dużą skalę (np. dane dotyczące zdrowia).

Uwaga: Organy ochrony danych mogą także uznać przetwarzanie danych innych kategorii za stanowiące wysokie ryzyko.

Jeśli środki wskazane w ocenie skutków w zakresie ochrony danych nie wyeliminują wszystkich zidentyfikowanych źródeł wysokiego ryzyka, przed przystąpieniem do planowanego przetwarzania danych należy skonsultować się z organem ochrony danych.

Prowadzenie rejestru

Musisz być w stanie udowodnić, szczególnie na wniosek organu ochrony danych lub podczas dokonywanej przez niego inspekcji, że Twoja firma działa zgodnie z RODO i wypełnia wszystkie ciążące na niej zobowiązania.

Możesz to zrobić m.in. prowadząc szczegółowy rejestr następujących informacji:

• nazwy i danych kontaktowych Twojego przedsiębiorstwa zajmującego się przetwarzaniem danych
• powodów przetwarzania danych osobowych
• kategorii osób przekazujących dane osobowe
• kategorii organizacji otrzymujących dane osobowe
• informacji na temat przekazywania danych osobowych do innego kraju lub organizacji
• okresu przechowywania danych osobowych
• opisu środków bezpieczeństwa stosowanych przy przetwarzaniu danych osobowych.

Twoja firma powinna ponadto posiadać i regularnie aktualizować pisemne procedury i wytyczne oraz podawać je do wiadomości pracowników.

Ochrona danych w fazie projektowania oraz domyślna ochrona danych

Ochrona danych w fazie projektowania oznacza, że Twoja firma powinna wziąć pod uwagę ochronę danych już na wczesnych etapach planowania nowego sposobu przetwarzania danych osobowych. Zgodnie z tą zasadą administrator danych musi podjąć wszelkie niezbędne działania techniczne i organizacyjne, aby wdrożyć zasady ochrony danych i chronić prawa osób fizycznych. Działania te mogą na obejmować na przykład pseudonimizację.

Domyślna ochrona danych oznacza, że Twoja firma powinna domyślnie wybierać ustawienie najbardziej przyjazne dla prywatności. Jeśli na przykład do wyboru są dwa różne ustawienia prywatności, z których jedno zapobiega dostępowi innych osób do danych osobowych, właśnie to ustawienie powinno być ustawieniem domyślnym.

Naruszenie przepisów oraz kary

Nieprzestrzeganie postanowień RODO może w przypadku niektórych naruszeń prowadzić do nałożenia wysokich kar, sięgających nawet 20 mln euro lub 4 proc. światowego obrotu Twojej firmy. Organ ochrony danych może nakazać dodatkowe środki naprawcze, takie jak zaprzestanie przetwarzania danych osobowych.