GDPR (w Polsce cz\u0119\u015bciej m\u00f3wimy RODO) nadal jest jednym z najbardziej kompleksowych akt\u00f3w prawnych dotycz\u0105cych prywatno\u015bci na \u015bwiecie. I co wa\u017cne z perspektywy w\u0142a\u015bciciela strony: je\u015bli w jakikolwiek spos\u00f3b przetwarzasz dane osobowe os\u00f3b z UE, zgodno\u015b\u0107 z GDPR jest obowi\u0105zkowa \u2014 niezale\u017cnie od tego, czy prowadzisz ma\u0142ego bloga, sklep, SaaS czy serwis korporacyjny.<\/p>\n\n\n\n
Ryzyko jest konkretne: za naruszenia mog\u0105 grozi\u0107 kary do 20 mln EUR albo do 4% globalnego rocznego obrotu (stosuje si\u0119 wy\u017csz\u0105 warto\u015b\u0107). Do tego dochodz\u0105 \u015brodki administracyjne, kt\u00f3re w praktyce potrafi\u0105 by\u0107 bardziej dotkliwe ni\u017c sama grzywna (np. zakaz przetwarzania).<\/p>\n\n\n\n
Poni\u017cej znajdziesz kompletn\u0105 checklist\u0119 zgodno\u015bci, u\u0142o\u017con\u0105 tak, \u017ceby da\u0142o si\u0119 ni\u0105 przej\u015b\u0107 krok po kroku i utrzymywa\u0107 j\u0105 w czasie. To nie jest porada prawna \u2014 traktuj j\u0105 jako techniczno-organizacyjn\u0105 list\u0119 kontroln\u0105 i punkt wyj\u015bcia do konsultacji z prawnikiem, je\u015bli masz niestandardowy przypadek.<\/p>\n\n\n\n
GDPR (General Data Protection Regulation) to rozporz\u0105dzenie UE obowi\u0105zuj\u0105ce od 25 maja 2018 r. Definiuje zasady zbierania, u\u017cywania, przechowywania i udost\u0119pniania danych osobowych. Zasi\u0119g jest eksterytorialny: przepisy obejmuj\u0105 podmioty zar\u00f3wno z UE, jak i spoza UE, je\u015bli przetwarzaj\u0105 dane osobowe mieszka\u0144c\u00f3w UE.<\/p>\n\n\n\n
W praktyce webowej najcz\u0119\u015bciej spotkasz si\u0119 z rozr\u00f3\u017cnieniem na administratora i podmiot przetwarzaj\u0105cy. To nie jest semantyka \u2014 od roli zale\u017c\u0105 obowi\u0105zki.<\/p>\n\n\n\n
W wielu biznesach rola mo\u017ce by\u0107 mieszana: wobec w\u0142asnych u\u017cytkownik\u00f3w jeste\u015b Data Controllerem, ale jednocze\u015bnie mo\u017cesz by\u0107 Data Processorem, je\u015bli \u015bwiadczysz us\u0142ug\u0119 przetwarzania danych dla innej firmy.<\/p>\n\n\n\n
Zanim przejdziesz do checklisty, warto umie\u015bci\u0107 dzia\u0142ania w kontek\u015bcie zasad GDPR. To one determinuj\u0105 sens konkretnych wymog\u00f3w.<\/p>\n\n\n\n
Poni\u017cej masz checklist\u0119 podzielon\u0105 na obszary. Przy ka\u017cdym punkcie podaj\u0119: do kogo dotyczy (Data Controller \/ Data Processor) oraz odniesienie do artyku\u0142u GDPR.<\/p>\n\n\n\n
Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Chodzi o realn\u0105 list\u0119 typ\u00f3w danych (np. kolumn w bazie): imi\u0119, nazwisko, adres, numer identyfikacyjny itp. Dla ka\u017cdego typu danych dokumentujesz: sk\u0105d pochodzi, komu jest udost\u0119pniany, po co jest przetwarzany oraz jak d\u0142ugo b\u0119dzie przechowywany.<\/p>\n\n\n\n GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n To nie tylko bazy typu MySQL czy inne systemy IT. W gr\u0119 wchodz\u0105 te\u017c no\u015bniki offline (np. papier). Wa\u017cne jest zmapowanie, gdzie dane \u201e\u017cyj\u0105\u201d i jak przep\u0142ywaj\u0105 pomi\u0119dzy systemami.<\/p>\n\n\n\n GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Polityka prywatno\u015bci powinna obejmowa\u0107 wszystkie procesy zwi\u0105zane z obs\u0142ug\u0105 danych. Dokument powinien zawiera\u0107 (lub linkowa\u0107 do) typy danych, kt\u00f3re posiadasz, oraz informacj\u0119, gdzie je przechowujesz.<\/p>\n\n\n\n GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller<\/em><\/p>\n\n\n\n Musisz jasno opisa\u0107, dlaczego w og\u00f3le przetwarzasz dane \u2014 np. w celu wykonania umowy.<\/p>\n\n\n\n GDPR Article 6 \u2013 Lawfulness of processing<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n DPO nie jest wymagany zawsze. Jest obowi\u0105zkowy wy\u0142\u0105cznie w trzech scenariuszach:<\/p>\n\n\n\n Je\u015bli DPO jest wymagany, powinien zna\u0107 wytyczne GDPR oraz rozumie\u0107 wewn\u0119trzne procesy, w kt\u00f3rych pojawiaj\u0105 si\u0119 dane osobowe.<\/p>\n\n\n\n GDPR Article 37 \u2013 Designation of the data protection officer<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Kluczowe osoby (w\u0142a\u015bciciel, zarz\u0105d, product owner, CTO) musz\u0105 mie\u0107 aktualn\u0105 wiedz\u0119 o wymaganiach ochrony danych \u2014 w szczeg\u00f3lno\u015bci w kontek\u015bcie zmian w procesach i produktach.<\/p>\n\n\n\n GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Je\u015bli prowadzisz SaaS, sensownie jest oprze\u0107 si\u0119 o checklisty bezpiecze\u0144stwa jako punkt startowy i upewni\u0107 si\u0119, \u017ce wdro\u017cone s\u0105 w\u0142a\u015bciwe \u015brodki techniczne.<\/p>\n\n\n\n GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Processor<\/em><\/p>\n\n\n\n Wiele podatno\u015bci bezpiecze\u0144stwa wykorzystuje nie\u015bwiadomo\u015b\u0107 os\u00f3b maj\u0105cych dost\u0119p do system\u00f3w wewn\u0119trznych. Szkolenia powinny budowa\u0107 \u015bwiadomo\u015b\u0107 ryzyk i procedur.<\/p>\n\n\n\n GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Processor<\/em><\/p>\n\n\n\n Je\u015bli korzystasz z podwykonawc\u00f3w przetwarzaj\u0105cych dane (sub-processors), Twoi klienci powinni by\u0107 o tym poinformowani. Zgoda odbywa si\u0119 przez akceptacj\u0119 polityki prywatno\u015bci.<\/p>\n\n\n\n GDPR Article 28 \u2013 Processor<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Je\u017celi Twoja firma nie ma siedziby w UE, ale zbiera dane obywateli UE, powiniene\u015b wyznaczy\u0107 przedstawiciela w jednym z pa\u0144stw cz\u0142onkowskich. To osoba do obs\u0142ugi spraw zwi\u0105zanych z przetwarzaniem; organ nadzorczy powinien m\u00f3c si\u0119 z ni\u0105 skontaktowa\u0107.<\/p>\n\n\n\n GDPR Article 27 \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Naruszenia danych osobowych nale\u017cy zg\u0142osi\u0107 do w\u0142a\u015bciwego organu nadzorczego w ci\u0105gu 72 godzin. W zg\u0142oszeniu opisujesz: jakie dane wyciek\u0142y\/utracono, jakie mog\u0105 by\u0107 konsekwencje i jakie zastosowa\u0142e\u015b \u015brodki zaradcze. Dodatkowo \u2014 o ile dane nie by\u0142y zaszyfrowane \u2014 trzeba poinformowa\u0107 tak\u017ce osob\u0119, kt\u00f3rej dane dotycz\u0105.<\/p>\n\n\n\n GDPR Article 33 \u2013 Notification of a personal data breach to the supervisory authority; GDPR Article 34 \u2013 Communication of a personal data breach to the data subject<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller<\/em><\/p>\n\n\n\n Umowa musi zawiera\u0107 jednoznaczne instrukcje dotycz\u0105ce przechowywania\/przetwarzania danych przez procesora oraz okre\u015bla\u0107: przedmiot i czas trwania przetwarzania, charakter i cele, rodzaj danych osobowych i kategorie os\u00f3b, a tak\u017ce obowi\u0105zki i prawa administratora.<\/p>\n\n\n\n Przyk\u0142ad praktyczny: umowa z dostawc\u0105 hostingu. Te same wymagania maj\u0105 zastosowanie, gdy procesor anga\u017cuje sub-procesora do realizacji dzia\u0142a\u0144 przetwarzania w imieniu administratora.<\/p>\n\n\n\n GDPR Article 28 \u2013 Processor; GDPR Article 29 \u2013 Processing under the authority of the controller or processor<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Powiniene\u015b mie\u0107 jasno opisany proces obs\u0142ugi \u017c\u0105da\u0144 dost\u0119pu do danych (access requests).<\/p>\n\n\n\n GDPR Article 15 \u2013 Right of access by the data subject<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Musisz zapewni\u0107 mechanizm korekty danych nieprawid\u0142owych.<\/p>\n\n\n\n GDPR Article 16 \u2013 Right to rectification<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Warto automatyzowa\u0107 kasowanie danych, kt\u00f3rych nie potrzebujesz. Przyk\u0142ad: automatyczne usuwanie danych klient\u00f3w, kt\u00f3rzy nie odnowili umowy.<\/p>\n\n\n\n GDPR Article 5 \u2013 Principles relating to processing of personal data<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Musisz mie\u0107 proces obs\u0142ugi \u017c\u0105da\u0144 usuni\u0119cia danych (right to be forgotten).<\/p>\n\n\n\n GDPR Article 17 \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n U\u017cytkownik ma prawo ograniczy\u0107 spos\u00f3b przetwarzania jego danych.<\/p>\n\n\n\n GDPR Article 18 \u2013 Right to restriction of processing<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Data portability oznacza mo\u017cliwo\u015b\u0107 uzyskania danych w ustrukturyzowanym, powszechnie u\u017cywanym i mo\u017cliwym do odczytu maszynowego formacie.<\/p>\n\n\n\n GDPR Article 20 \u2013 Right to data portability<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller<\/em><\/p>\n\n\n\n Ten punkt ma zastosowanie tylko wtedy, gdy Twoja firma realnie prowadzi profilowanie lub inne zautomatyzowane podejmowanie decyzji, kt\u00f3re mo\u017ce wp\u0142ywa\u0107 na u\u017cytkownika.<\/p>\n\n\n\n GDPR Article 22 \u2013 Automated individual decision-making, including profiling<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller<\/em><\/p>\n\n\n\n Je\u017celi Twoja strona zbiera dane osobowe, zadbaj o widoczny link do polityki prywatno\u015bci oraz mechanizm potwierdzenia akceptacji. Zgoda wymaga dzia\u0142ania afirmatywnego \u2014 checkboxy wst\u0119pnie zaznaczone s\u0105 niedozwolone.<\/p>\n\n\n\n GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller<\/em><\/p>\n\n\n\n Tekst ma by\u0107 prosty i jednoznaczny \u2014 bez ukrywania intencji. Je\u015bli dokument jest niejasny, zgoda mo\u017ce zosta\u0107 uznana za niewa\u017cn\u0105. Je\u017celi oferujesz us\u0142ugi dzieciom, tre\u015b\u0107 musi by\u0107 dla nich zrozumia\u0142a.<\/p>\n\n\n\n GDPR Article 7.2 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller<\/em><\/p>\n\n\n\n Mechanizm cofni\u0119cia zgody nie mo\u017ce by\u0107 trudniejszy ni\u017c jej udzielenie.<\/p>\n\n\n\n GDPR Article 7.3 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller<\/em><\/p>\n\n\n\n Dla dzieci poni\u017cej 16. roku \u017cycia musisz upewni\u0107 si\u0119, \u017ce zgod\u0119 wyrazi\u0142 opiekun prawny. Je\u017celi zgoda jest zbierana na stronie, powiniene\u015b pr\u00f3bowa\u0107 zweryfikowa\u0107, \u017ce akceptacja faktycznie pochodzi od opiekuna, a nie od dziecka.<\/p>\n\n\n\n GDPR Article 8 \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller<\/em><\/p>\n\n\n\n Przyk\u0142adowo: wysy\u0142asz e-mail z informacj\u0105 o planowanych zmianach. Komunikat powinien w prosty spos\u00f3b wyja\u015bnia\u0107, co si\u0119 zmieni\u0142o.<\/p>\n\n\n\n GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller<\/em><\/p>\n\n\n\n GDPR to nie jednorazowe wdro\u017cenie. Powiniene\u015b okresowo weryfikowa\u0107, czy polityki s\u0105 aktualne, czy realnie dzia\u0142aj\u0105 oraz czy nie zmieni\u0142y si\u0119 warunki prawne\/organizacyjne \u2014 szczeg\u00f3lnie je\u015bli dane \u201ew\u0119druj\u0105\u201d do innych kraj\u00f3w.<\/p>\n\n\n\n GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller<\/em><\/p>\n\n\n\n To dotyczy firm, kt\u00f3re prowadz\u0105 przetwarzanie na du\u017c\u0105 skal\u0119, profilowanie i inne operacje o wysokim ryzyku naruszenia praw i wolno\u015bci os\u00f3b. W takich sytuacjach wykonuje si\u0119 DPIA (Data Protection Impact Assessment), czyli ocen\u0119 skutk\u00f3w dla ochrony danych.<\/p>\n\n\n\n GDPR Article 35 \u2013 Data protection impact assessment<\/p>\n\n<\/div>\n\n\n\n Dotyczy: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Przep\u0142ywy transgraniczne powiniene\u015b ujawni\u0107 w polityce prywatno\u015bci. Przy transferach do kraj\u00f3w bez decyzji stwierdzaj\u0105cej odpowiedni stopie\u0144 ochrony stosuje si\u0119 m.in. Standard Contractual Clauses (SCCs) albo Binding Corporate Rules (BCRs).<\/p>\n\n\n\n GDPR Article 45 \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n<\/div>\n\n\n\n Niezale\u017cnie od tego, jak\u0105 masz rol\u0119 operacyjn\u0105 w organizacji, prawa Data Subjects s\u0105 centralnym elementem GDPR. Poni\u017cej masz zestaw praw wraz z warunkami i zakresem informacji, kt\u00f3re musz\u0105 by\u0107 dost\u0119pne.<\/p>\n\n\n\n Administrator ma obowi\u0105zek podj\u0105\u0107 odpowiednie dzia\u0142ania, by przekaza\u0107 wszelkie informacje o przetwarzaniu w formie zwi\u0119z\u0142ej, przejrzystej, zrozumia\u0142ej i \u0142atwo dost\u0119pnej, u\u017cywaj\u0105c jasnego i prostego j\u0119zyka \u2014 szczeg\u00f3lnie, gdy informacja jest kierowana do dziecka. Informacja powinna by\u0107 przekazana na pi\u015bmie albo innymi \u015brodkami, w tym (je\u015bli to zasadne) elektronicznie.<\/p>\n\n\n\n GDPR Article 12<\/p>\n\n<\/div>\n\n\n\n Gdy dane osobowe s\u0105 zbierane bezpo\u015brednio od osoby, kt\u00f3rej dane dotycz\u0105, musisz przekaza\u0107 co najmniej:<\/p>\n\n\n\n GDPR Article 13<\/p>\n\n<\/div>\n\n\n\n Je\u015bli pozyskujesz dane z innych \u017ar\u00f3de\u0142 ni\u017c sama osoba, musisz przekaza\u0107 analogiczne informacje, w tym kategorie danych osobowych oraz \u017ar\u00f3d\u0142o pochodzenia danych.<\/p>\n\n\n\n GDPR Article 14<\/p>\n\n<\/div>\n\n\n\n Osoba ma prawo uzyska\u0107 potwierdzenie, czy jej dane s\u0105 przetwarzane, oraz dost\u0119p do nast\u0119puj\u0105cych informacji:<\/p>\n\n\n\n GDPR Article 15<\/p>\n\n<\/div>\n\n\n\n Osoba ma prawo bez zb\u0119dnej zw\u0142oki doprowadzi\u0107 do sprostowania nieprawid\u0142owych danych oraz uzupe\u0142nienia danych niekompletnych.<\/p>\n\n\n\n GDPR Article 16<\/p>\n\n<\/div>\n\n\n\n Osoba ma prawo uzyska\u0107 usuni\u0119cie danych, gdy:<\/p>\n\n\n\n GDPR Article 17<\/p>\n\n<\/div>\n\n\n\n Osoba ma prawo uzyska\u0107 ograniczenie przetwarzania, gdy:<\/p>\n\n\n\n GDPR Article 18<\/p>\n\n<\/div>\n\n\n\n Administrator ma obowi\u0105zek przekaza\u0107 informacj\u0119 o sprostowaniu\/usuni\u0119ciu\/ograniczeniu ka\u017cdemu odbiorcy, kt\u00f3remu ujawniono dane \u2014 chyba \u017ce oka\u017ce si\u0119 to niemo\u017cliwe lub b\u0119dzie wymaga\u0142o niewsp\u00f3\u0142miernie du\u017cego wysi\u0142ku.<\/p>\n\n\n\n GDPR Article 19<\/p>\n\n<\/div>\n\n\n\n Osoba ma prawo otrzyma\u0107 swoje dane w ustrukturyzowanym, powszechnie u\u017cywanym i mo\u017cliwym do odczytu maszynowego formacie oraz przekaza\u0107 je innemu administratorowi bez przeszk\u00f3d.<\/p>\n\n\n\n GDPR Article 20<\/p>\n\n<\/div>\n\n\n\n Osoba mo\u017ce w dowolnym momencie wnie\u015b\u0107 sprzeciw \u2014 z powod\u00f3w zwi\u0105zanych z jej szczeg\u00f3ln\u0105 sytuacj\u0105 \u2014 wobec przetwarzania opartego na prawnie uzasadnionym interesie lub interesie publicznym, w tym profilowania.<\/p>\n\n\n\n GDPR Article 21<\/p>\n\n<\/div>\n\n\n\n Osoba ma prawo nie podlega\u0107 decyzji opartej wy\u0142\u0105cznie na automatycznym przetwarzaniu (w tym profilowaniu), je\u015bli wywo\u0142uje to skutki prawne lub w podobny spos\u00f3b istotnie na ni\u0105 wp\u0142ywa.<\/p>\n\n\n\n GDPR Article 22<\/p>\n\n<\/div>\n\n\n\n Je\u017celi u\u017cywasz cookies innych ni\u017c niezb\u0119dne, potrzebujesz wyra\u017anej zgody u\u017cytkownika, zanim je uruchomisz.<\/p>\n\n\n\n Baner cookies powinien spe\u0142nia\u0107 nast\u0119puj\u0105ce warunki:<\/p>\n\n\n\n Scrollowanie lub brak interakcji nie oznacza zgody.<\/p>\n\n<\/div>\n\n\n\n Ka\u017cdy formularz, kt\u00f3ry zbiera dane osobowe, musi by\u0107 zaprojektowany pod GDPR:<\/p>\n\n\n\n Je\u015bli Twoja strona stoi na WordPressie, dochodzi kilka bardzo konkretnych element\u00f3w operacyjnych (cz\u0119sto pomijanych w \u201eog\u00f3lnych\u201d poradnikach):<\/p>\n\n\n\n GDPR przewiduje dwa progi kar finansowych:<\/p>\n\n\n\n Poza samymi karami pieni\u0119\u017cnymi organy mog\u0105 m.in.:<\/p>\n\n\n\n To lista dzia\u0142a\u0144, kt\u00f3re trzeba wdro\u017cy\u0107, aby spe\u0142nia\u0107 wymagania GDPR. Pomaga znale\u017a\u0107 luki w praktykach ochrony danych i uporz\u0105dkowa\u0107 prac\u0119 nad zgodno\u015bci\u0105.<\/p>\n\n\n\n Pierwszorz\u0119dnie odpowiada Data Controller (zwykle w\u0142a\u015bciciel strony\/biznesu). Data Processorzy r\u00f3wnie\u017c maj\u0105 obowi\u0105zki zwi\u0105zane ze zgodno\u015bci\u0105.<\/p>\n\n\n\n Tak \u2014 je\u015bli przetwarzasz dane osobowe mieszka\u0144c\u00f3w UE, niezale\u017cnie od lokalizacji firmy.<\/p>\n\n\n\n Do 20 mln EUR albo do 4% rocznego globalnego obrotu \u2014 zale\u017cnie od tego, kt\u00f3ra warto\u015b\u0107 jest wy\u017csza.<\/p>\n\n\n\n Tak, je\u015bli strona u\u017cywa cookies innych ni\u017c niezb\u0119dne i ma u\u017cytkownik\u00f3w z UE.<\/p>\n\n\n\n Tylko je\u015bli: (1) jeste\u015b organem publicznym, (2) Twoja g\u0142\u00f3wna dzia\u0142alno\u015b\u0107 wymaga regularnego i systematycznego monitorowania os\u00f3b na du\u017c\u0105 skal\u0119, lub (3) przetwarzasz na du\u017c\u0105 skal\u0119 dane wra\u017cliwe (Article 9) albo dane o wyrokach i czynach zabronionych (Article 10).<\/p>\n\n\n\n Najlepszy efekt daje potraktowanie GDPR jako procesu: najpierw mapujesz dane (co i gdzie), potem domykasz podstawy prawne i komunikacj\u0119 (polityki, zgody), wdra\u017casz mechanizmy realizacji praw u\u017cytkownika (dost\u0119p, eksport, usuni\u0119cie), a na ko\u0144cu zapewniasz bezpiecze\u0144stwo i gotowo\u015b\u0107 na incydenty (72h). Ca\u0142o\u015b\u0107 musi da\u0107 si\u0119 udowodni\u0107 \u2014 rozliczalno\u015b\u0107 to nie dodatek, tylko rdze\u0144.<\/p>\n\n\nOdniesienie<\/h4>\n\n\n
Masz list\u0119 miejsc, w kt\u00f3rych przechowujesz dane osobowe oraz opis przep\u0142yw\u00f3w danych mi\u0119dzy nimi<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Masz publicznie dost\u0119pn\u0105 polityk\u0119 prywatno\u015bci opisuj\u0105c\u0105 procesy zwi\u0105zane z danymi osobowymi<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
W polityce prywatno\u015bci wskazujesz podstaw\u0119 prawn\u0105 przetwarzania danych<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Odpowiedzialno\u015b\u0107 i zarz\u0105dzanie (Accountability & Management)<\/h3>\n\n\n\n
Wyznaczy\u0142e\u015b Data Protection Officer (DPO), je\u015bli to konieczne<\/h4>\n\n\n\n
\n\n
Odniesienie<\/h4>\n\n\n
Budujesz \u015bwiadomo\u015b\u0107 GDPR w\u015br\u00f3d os\u00f3b decyzyjnych<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Twoje zabezpieczenia techniczne s\u0105 aktualne<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Szkolisz pracownik\u00f3w z ochrony danych<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Masz list\u0119 sub-processors i informujesz o nich w polityce prywatno\u015bci<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Je\u015bli dzia\u0142asz poza UE, wyznaczy\u0142e\u015b przedstawiciela w UE<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Zg\u0142aszasz naruszenia ochrony danych organowi i osobom, kt\u00f3rych dotyczy incydent<\/h4>\n\n\n\n
Odniesienia<\/h4>\n\n\n
Masz umowy z ka\u017cdym procesorem, kt\u00f3remu przekazujesz dane<\/h4>\n\n\n\n
Odniesienia<\/h4>\n\n\n
Nowe prawa (New Rights) \u2014 jak obs\u0142u\u017cy\u0107 je na stronie<\/h3>\n\n\n\n
U\u017cytkownik mo\u017ce \u0142atwo poprosi\u0107 o dost\u0119p do swoich danych<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
U\u017cytkownik mo\u017ce \u0142atwo poprawi\u0107 swoje dane, aby by\u0142y aktualne<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Automatycznie usuwasz dane, kt\u00f3re nie s\u0105 ju\u017c potrzebne<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
U\u017cytkownik mo\u017ce \u0142atwo poprosi\u0107 o usuni\u0119cie danych (prawo do bycia zapomnianym)<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
U\u017cytkownik mo\u017ce \u0142atwo poprosi\u0107 o ograniczenie przetwarzania<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
U\u017cytkownik mo\u017ce \u0142atwo poprosi\u0107 o przeniesienie danych do siebie lub strony trzeciej<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
U\u017cytkownik mo\u017ce sprzeciwi\u0107 si\u0119 profilowaniu lub zautomatyzowanemu podejmowaniu decyzji<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Zgoda (Consent)<\/h3>\n\n\n\n
Je\u015bli podstaw\u0105 przetwarzania jest zgoda, musi by\u0107 dobrowolna, konkretna, \u015bwiadoma i mo\u017cliwa do wycofania<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Polityka prywatno\u015bci jest napisana jasno i zrozumiale<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Wycofanie zgody jest r\u00f3wnie proste jak jej udzielenie<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Je\u015bli przetwarzasz dane dzieci, weryfikujesz wiek i zbierasz zgod\u0119 opiekuna prawnego<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Po aktualizacji polityki prywatno\u015bci informujesz dotychczasowych klient\u00f3w<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Follow-up \u2014 utrzymanie zgodno\u015bci<\/h3>\n\n\n\n
Regularnie przegl\u0105dasz polityki: zmiany, skuteczno\u015b\u0107, zmiany w przetwarzaniu i w pa\u0144stwach, do kt\u00f3rych p\u0142yn\u0105 dane<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Szczeg\u00f3lne przypadki (Special Cases)<\/h3>\n\n\n\n
Wiesz, kiedy musisz wykona\u0107 DPIA dla przetwarzania wysokiego ryzyka<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Przekazujesz dane poza UE wy\u0142\u0105cznie do kraj\u00f3w z odpowiednim poziomem ochrony<\/h4>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Prawa os\u00f3b, kt\u00f3rych dane dotycz\u0105 (Data Subject Rights) \u2014 co musisz zapewni\u0107<\/h2>\n\n\n\n
Prawo do przejrzystej informacji<\/h3>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Prawo do otrzymania konkretnych informacji, gdy dane zebrano bezpo\u015brednio<\/h3>\n\n\n\n
\n\n
Odniesienie<\/h4>\n\n\n
Prawo do otrzymania konkretnych informacji, gdy dane nie zosta\u0142y zebrane bezpo\u015brednio<\/h3>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Prawo dost\u0119pu<\/h3>\n\n\n\n
\n\n
Odniesienie<\/h4>\n\n\n
Prawo do sprostowania<\/h3>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Prawo do usuni\u0119cia danych (prawo do bycia zapomnianym)<\/h3>\n\n\n\n
\n\n
Odniesienie<\/h4>\n\n\n
Prawo do ograniczenia przetwarzania<\/h3>\n\n\n\n
\n\n
Odniesienie<\/h4>\n\n\n
Prawo do poinformowania odbiorc\u00f3w o sprostowaniu, usuni\u0119ciu lub ograniczeniu<\/h3>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Prawo do przenoszenia danych<\/h3>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Prawo sprzeciwu<\/h3>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Prawo do niepodlegania decyzjom opartym wy\u0142\u0105cznie na automatycznym przetwarzaniu<\/h3>\n\n\n\n
Odniesienie<\/h4>\n\n\n
Praktyczne kroki wdro\u017ceniowe na stronie WWW<\/h2>\n\n\n\n
1) Zabezpiecz stron\u0119<\/h3>\n\n\n\n
\n\n
2) Dodaj baner zgody na cookies<\/h3>\n\n\n\n
\n\n
Wa\u017cne<\/h4>\n\n\n
3) Przejrzyj formularze na stronie<\/h3>\n\n\n\n
\n\n
4) Zbieraj zgod\u0119 na marketing e-mailowy poprawnie<\/h3>\n\n\n\n
\n\n
5) Przygotuj procedury na naruszenia danych<\/h3>\n\n\n\n
\n\n
WordPress a GDPR: na co uwa\u017ca\u0107 w praktyce<\/h2>\n\n\n\n
\n\n
Kary za naruszenia GDPR (i co poza grzywn\u0105)<\/h2>\n\n\n\n
\n\n
\n\n
FAQ: najcz\u0119stsze pytania o checklist\u0119 GDPR<\/h2>\n\n\n\n
Co to jest GDPR compliance checklist?<\/h3>\n\n\n\n
Kto odpowiada za zgodno\u015b\u0107 z GDPR?<\/h3>\n\n\n\n
Czy GDPR dotyczy firm z USA?<\/h3>\n\n\n\n
Jaka jest maksymalna kara za brak zgodno\u015bci?<\/h3>\n\n\n\n
Czy potrzebuj\u0119 banera cookies?<\/h3>\n\n\n\n
Czy musz\u0119 mie\u0107 Data Protection Officer (DPO)?<\/h3>\n\n\n\n
Podsumowanie: jak u\u017cywa\u0107 tej checklisty w realnym projekcie<\/h2>\n\n\n\n