Musisz zadać sobie pytanie czy przetwarzasz dane osobowe, w jakim zakresie to robisz i co absolutnie musisz przetwarzać. Na temat samej interpretacji danych osobowych nie będę się rozpisywać tutaj prawo jest nieprecyzyjne, uznaniowe natomiast kary bardzo duże. Generalnie lepiej założyć że je przetwarzasz niż że ich nie przetwarzasz.
Aby przestrzegać RODO musisz posiadać politykę prywatności w której określisz określić między innymi jakie dane: dane zbierasz, po co je zbierasz, dlaczego musisz je zbierać i jak długo je przechowujesz. Dodatkowo musi określić ASI - osobę odpowiedzialną za bezpieczeństwo danych(z imienia i nazwiska) - jak coś wycieknie w wyniku błędów to ona odpowiada karnie(za niedopatrzenia) i finansowo(kary, odszkodowania).
Musisz również określić drogę komunikacji z tobą elektroniczną i tradycyjną - czyli e-mail i adres do przesyłania listów (nie, nie może być skrytka pocztowa). Na ten adresy również przyjmujesz wnioski o prawo do zapomnienia czyli prośby użytkowników o skasowanie ich konta oraz wszystkich danych z nim powiązanych, lub o dostęp do nich. Oraz wyznaczasz termin w którym najpóźniej odpowiesz - max 30 dni.
W polityce opisujesz też zabezpieczenia jakie stosujesz(bez zagłębiania się w szczegóły techniczne). Trochę tego jest ale w brew pozorom polityka zajmuje 2-3 kartki a4 i ma być napisana zrozumiałym dla przeciętnego kowalskiego językiem, w ogólno dostępnym formacie (polecam .pdf).
Jeśli chodzi o usługodawców przechowujących Twoje dane osobowe to potrzebna jest Ci umowa powierzenia danych + ich polityka. Tego nie musisz publikować to masz uszykowane i podpisane na wypadek kontroli musisz tylko wspomnieć w polityce że przekazujesz to zewnętrznym firmą w tym wypadku Google. Szczerze to nie wiem czy firebise jest w ogóle dostosowany do RODO to musiał byś sobie poszukać.
Jako ASI masz obowiązek logowania tego kto uzyskał dostęp do danych osobowych, w jakim zakresie oraz przez jaki czas i jak wyglądał ten dostęp i jak był zabezpieczony przed ingerncją osób trzecich. W praktyce robisz sobie 3 metody dostępu opisujesz je i w logach podajesz obo dostępu obok wpisu 1,2,3 itp. Tutaj nie liczą się dostępy w ramach serwisu typu użytkownik - użytkownik. Tylko chodzi o administratorów itp. Spisać musisz wszystkie dane osoby której dane powierzasz + odpowiednia umowa z tą osobą - najwygodniej jest samemu zarządzać.
Dodatkowo user musi wyrazić odpowiednie zgody przy podawaniu danych osobowych. Zgody to dojść długie formułki które musisz dać do akceptacji niestety w całości.
To nie jest porada ani techniczna ani prawna. Istnieją jeszcze inne obostrzenia a niektóre punkty mogą się zmienić zarówno w czasie jak i w konkretnym przypadku. Polityka prywatności jest dostosowana pod konkretny serwis i nie ma czegoś takiego jak gotowiec(choć w internecie roi się od takich pseudo polityk - szablonów), pisze się ją indywidualnie pod daną firmę/serwis.
Jeśli zauważyłeś że jest to strasznie dużo wymagań i większość małych firm nie ma wiedzy ani czasu się w to bawić to punkt dla Ciebie. RODO jest trochę nie życiowe i napisane pod średnie i duże firmy. Jednak w Polsce wykształcił się Ciekawy typ firm - firmy oferujące administrację danymi osobowymi. Czyli spisujesz umowę oni Ci piszą politykę prywatności dogadują umowy z usługodawcami oraz zabezpieczają serwis. W przypadku kodu sprawdzają kod pod kątem wycieku i podatności. A teraz najlepsze mają własnego ASI czyli za wyciek i niezgodności odpowiedzą oni a nie ty. (no chyba że nie przestrzegasz zaleceń). Tego typu firmy nie mają jeszcze swojej nazwy dlatego ciężko się je w Google szuka ale jest i w Polsce naprawdę sporo tu masz przykład: https://supportit.com.pl/oferta/rodo inne też znajdziesz tylko trzeba trochę poszukać.