Pierwszą rzeczą na jaką należy zwrócić uwagę jest konstrukcja samego tekstu zgody. Musi być sformułowany czytelnym i jasnym językiem. Dodatkowo, poszczególne zgody na przetwarzanie danych osobowych nie mogą być potraktowane zbiorczo, ani domyślnie zaznaczone. Użytkownik musi każdorazowo samodzielnie wyrazić zgodę zaznaczając każdy z checkboxów. Dodatkowo, można domagać się zgody na przetwarzanie danych tylko w wypadku, kiedy jest to konieczne do wykonania usługi. Z tego wynika m.in., że brak zgody na przetwarzanie danych w celach marketingowych nie może uniemożliwiać wykonania usługi zawartej w umowie. Dokument powinien zawierać informację o tym kto jest Administratorem Danych Osobowych. Musimy też umieścić kontakt do Inspektora Danych Osobowych (wcześniej to stanowisko nosiło nazwę Administrator Bezpieczeństwa Informacji), jeśli taka osoba została powołana.
Z treści dokumentu użytkownik musi także wiedzieć o tym, że wykorzystujemy jego dane do profilowania. Powinniśmy go też poinformować o prawie do zmiany, usunięcia, ograniczenia przetwarzania, a także do przeniesienia danych. Ten ostatni punkt oznacza, że osoba, której dane są przetwarzane będzie mogła je pobrać, albo zażądać wysłania do innego usługodawcy. Użytkownik ma prawo wycofać w każdym momencie zgodę na przetwarzanie danych. Jednak w wypadku kiedy przetwarzanie danych jest konieczne do wykonania usługi, przed ich usunięciem umowa powinna zostać rozwiązana.
Przepisy co prawda wprost nie wymagają stosowania szyfrowania SSL na stronach internetowych, jednak jest to techniczne rozwiązanie, które wynika z konieczności zapewnienia bezpiecznej infrastruktury “by design”. Musimy też pamiętać o konieczności niezwłocznego poinformowania użytkowników i GIODO o wycieku danych. W przeciwnym razie możemy się narazić na ogromne kary finansowe, które mogą wynieść nawet 20 milionów euro lub 4 procent wartości rocznego światowego przychodu przedsiębiorstwa, w zależności od tego, która z tych kwot jest większa. | CHIP