Większość osób, która prowadzi blog musi mieć świadomość, że zgodnie z RODO jest administratorem danych osobowych, czyli decyduje o tym jak i w jakim celu dane są przetwarzane.

Przyjmuje się, że jedynie w przypadku, kiedy bloger pisze czysto hobbistycznie i nie zarabia na reklamach ani nie stanowi to marketingu osobistego, to RODO się nie stosuje (art. 2.2.c RODO). Jeżeli korzystasz więc z narzędzi do działań innych niż o „czysto osobistym lub domowym charakterze”, to odpowiadasz za to jako administrator danych osobowych, z czym jak pewnie się domyślasz, wiąże się szereg obowiązków. Nie przerażaj się zbytnio, chodzi o to żeby powziąć minimalne działania, które pozwolą na identyfikacje danych, które są przetwarzane, wdrożenie odpowiednich zabezpieczeń i ich udokumentowanie, żeby w razie kontroli wykazać, że działamy zgodnie z RODO.

Jakie czynności przetwarzania danych osobowych może wykonywać bloger?

Najczęściej czynnością przetwarzania będzie wysyłka newslettera prowadzona do użytkowników bloga. W tym przypadku, podstawą przetwarzania będzie zgoda. Jeśli prowadzisz w ramach bloga sprzedaż np. przygotowanego przez Ciebie e-booka mamy kolejną czynność przetwarzania. Pamiętaj, iż w przypadku sprzedaży podstawą przetwarzania nie będzie zgoda – to częsty błąd który pojawia się u administratorów – a cel realizacji umowy. Kolejną czynnością będzie umożliwienie komentowania. Jeśli korzystasz np. z WordPressa, po wejściu w swoim panelu w komentarze, widzisz e-mail, często imię i nazwisko czy adres strony internetowej. To wszystko są dane osobowe, a zatem ich gromadzenie jest czynnością do umieszczenia w rejestrze. Twoja strona na pewne będzie korzystała z plików cookies, które to w większości pozwalają na przetwarzanie danych osobowych (poza tzw. niezbędnymi plikami cookies), powinny być używane na podstawie zgody. Są bowiem wykorzystywane przykładowo w celu prawidłowego działania strony, korzystania z narzędzi analitycznych (Google Analytics) oraz wtyczek społecznościowych (Facebook).

Nie można więc mówić o przetwarzaniu danych w celu osobistym lub domowym, jeśli zbierasz komentarze na blogu (e-mail, nawet jeśli niewidoczny dla innych użytkowników na stronie, dla Ciebie jest widoczny), do tego zbierasz adresy e-mail, żeby wysyłać newsletter i śledzisz działania użytkowników. W szczególności wtedy, kiedy korzystasz z szeroko rozumianej reklamy.

Dokumenty, które są niezbędne, aby wykazać zgodność przetwarzania z RODO

Jak już zidentyfikujesz czynności przetwarzania, będą one stanowiły podstawę do sporządzenia Rejestru czynności przetwarzania (art. 30 RODO). To dokument, który pokazuje wszystkie procesy na danych osobowych, po co je przetwarzamy i kto ma do nich dostęp.

Na stronie powinna znaleźć się Polityka Prywatności, która będzie właściwie spełnieniem obowiązku informacyjnego, co jest wymagane przez RODO. Nie musi być żaden bardzo skomplikowany i sformalizowany dokument, powinien zawierać informacje dla użytkowników bloga, jakie dane są przez administratora przetwarzane i na jakiej podstawie, przez jak długi okres i komu są przekazywane. Jeśli korzystamy z wtyczek do portali społecznościowych jak Facebook, albo też z narzędzi Google, musimy to wyszczególnić i najlepiej dodać linka do Polityki Prywatności danej firmy.

Co prawda obecne przepisy wprost nie wymagają sporządzenia polityk ochrony danych, jednakże aby móc wykazać, że przetwarzamy dane zgodnie z RODO, dobrze jest posiadać taki dokument. Polityka ochrony danych to dokument, który nie powinien zostać udostępniony osobom trzecim, gdyż najczęściej opisuje techniczne zabezpieczenia związane z użytkowaniem strony. Będzie więc zawierała informacje o naszej polityce haseł, zabezpieczeniach stosowanych przez nas na stronie i sprzęcie, na którym pracujemy czy też o wykonywanych kopiach zapasowych. W większych podmiotach, sporządza się często dwa dokumenty: Politykę Ochrony Danych oraz Politykę Bezpieczeństwa Systemów Informatycznych, jednakże jeśli prowadzisz działalność na niewielką skalę, można to ująć w ramach jednego dokumentu.

Prowadząc bloga musisz zwrócić uwagę jeszcze na takie, niezwykle istotne kwestie:

♦ informację o plikach cookies i odpowiedniej zgoda na ich używanie;
♦ odpowiednią treść checkboxów przy zapisie na newslettera;
♦ jeśli dokonujesz sprzedaży w sklepie internetowym, odpowiednią treść muszą mieć także checkboxy tam się znajdujące;
♦ powinieneś przemyśleć gdzie i w którym momencie informujesz o przetwarzaniu danych, np. przez odesłanie do Polityki Prywatności.

W zależności jak rozbudowana jest Twoja działalność powinieneś pomyśleć także u udokumentowaniu przeprowadzonej analizy ryzyka.

Powierzenie przetwarzania danych osobowych

Jeśli powierzasz przetwarzanie danych osobom trzecim, musisz zawrzeć z nimi umowę powierzenia przetwarzania. Umowa taka może być zawarta także w formie elektronicznej, na przykład poprzez akceptację regulaminu w kupowanej usłudze, jeśli regulamin zawiera postanowienia odnośnie powierzenia przetwarzania danych.

Musisz zweryfikować więc, jakie podmioty uczestniczą w przetwarzaniu, najczęściej biorąc pod uwagę działalność polegającą na prowadzeniu bloga będą to:

♦ hostingodawca – przechowuje gromadzone przez ciebie dane na serwerze,
♦ dostawca systemu mailingowego – przechowuje po swojej stronie dane osób, które znajdują się na twoich listach mailingowych,
♦ firma informatyczna.

Jeśli zaś zajmujesz się sprzedażą będzie to także:

♦ dostawca programu do wystawiania faktur – przechowuje po swojej stronie dane osób widoczne na fakturach,
♦ biuro rachunkowe – przetwarza dane osobowe, które są widoczne na fakturach,
♦ firma kurierska – przetwarza dane przy wysyłce zamówień.

Jak widzisz, nawet przy prowadzeniu bardzo niewielkiej działalności polegającej na prowadzeniu bloga, nie unikniesz wymagań stawianych przez RODO. Nie postrzegaj tego jako zbędnej papierologii, gdyż chodzi o to, aby nikt nieuprawniony nie uzyskał dostępu do przetwarzanych przez Ciebie danych i ich nie usunął, a przede wszystkim, żeby takie dane nie wyciekły w sposób niekontrolowany.

Wzór Rejestru Czynności Przetwarzania znajdziesz na stronie Urzędu Ochrony Danych. Jeśli zaś potrzebujesz pomocy przygotowaniu tego bądź pozostałych dokumentów, zachęcam Cię do kontaktu.