O czym bloger musi pamiętać w kontekście RODO

Większość osób, która prowadzi blog musi mieć świadomość, że zgodnie z RODO jest administratorem danych osobowych, czyli decyduje o tym jak i w jakim celu dane są przetwarzane.

Przyjmuje się, że jedynie w przypadku, kiedy bloger pisze czysto hobbistycznie i nie zarabia na reklamach ani nie stanowi to marketingu osobistego, to RODO się nie stosuje (art. 2.2.c RODO). Jeżeli korzystasz więc z narzędzi do działań innych niż o „czysto osobistym lub domowym charakterze”, to odpowiadasz za to jako administrator danych osobowych, z czym jak pewnie się domyślasz, wiąże się szereg obowiązków. Nie przerażaj się zbytnio, chodzi o to żeby powziąć minimalne działania, które pozwolą na identyfikacje danych, które są przetwarzane, wdrożenie odpowiednich zabezpieczeń i ich udokumentowanie, żeby w razie kontroli wykazać, że działamy zgodnie z RODO.

Jakie czynności przetwarzania danych osobowych może wykonywać bloger?

Najczęściej czynnością przetwarzania będzie wysyłka newslettera prowadzona do użytkowników bloga. W tym przypadku, podstawą przetwarzania będzie zgoda. Jeśli prowadzisz w ramach bloga sprzedaż np. przygotowanego przez Ciebie e-booka mamy kolejną czynność przetwarzania. Pamiętaj, iż w przypadku sprzedaży podstawą przetwarzania nie będzie zgoda – to częsty błąd który pojawia się u administratorów – a cel realizacji umowy. Kolejną czynnością będzie umożliwienie komentowania. Jeśli korzystasz np. z WordPressa, po wejściu w swoim panelu w komentarze, widzisz e-mail, często imię i nazwisko czy adres strony internetowej. To wszystko są dane osobowe, a zatem ich gromadzenie jest czynnością do umieszczenia w rejestrze. Twoja strona na pewne będzie korzystała z plików cookies, które to w większości pozwalają na przetwarzanie danych osobowych (poza tzw. niezbędnymi plikami cookies), powinny być używane na podstawie zgody. Są bowiem wykorzystywane przykładowo w celu prawidłowego działania strony, korzystania z narzędzi analitycznych (Google Analytics) oraz wtyczek społecznościowych (Facebook).

Nie można więc mówić o przetwarzaniu danych w celu osobistym lub domowym, jeśli zbierasz komentarze na blogu (e-mail, nawet jeśli niewidoczny dla innych użytkowników na stronie, dla Ciebie jest widoczny), do tego zbierasz adresy e-mail, żeby wysyłać newsletter i śledzisz działania użytkowników. W szczególności wtedy, kiedy korzystasz z szeroko rozumianej reklamy.

Dokumenty, które są niezbędne, aby wykazać zgodność przetwarzania z RODO

Jak już zidentyfikujesz czynności przetwarzania, będą one stanowiły podstawę do sporządzenia Rejestru czynności przetwarzania (art. 30 RODO). To dokument, który pokazuje wszystkie procesy na danych osobowych, po co je przetwarzamy i kto ma do nich dostęp.

Na stronie powinna znaleźć się Polityka Prywatności, która będzie właściwie spełnieniem obowiązku informacyjnego, co jest wymagane przez RODO. Nie musi być żaden bardzo skomplikowany i sformalizowany dokument, powinien zawierać informacje dla użytkowników bloga, jakie dane są przez administratora przetwarzane i na jakiej podstawie, przez jak długi okres i komu są przekazywane. Jeśli korzystamy z wtyczek do portali społecznościowych jak Facebook, albo też z narzędzi Google, musimy to wyszczególnić i najlepiej dodać linka do Polityki Prywatności danej firmy.

Co prawda obecne przepisy wprost nie wymagają sporządzenia polityk ochrony danych, jednakże aby móc wykazać, że przetwarzamy dane zgodnie z RODO, dobrze jest posiadać taki dokument. Polityka ochrony danych to dokument, który nie powinien zostać udostępniony osobom trzecim, gdyż najczęściej opisuje techniczne zabezpieczenia związane z użytkowaniem strony. Będzie więc zawierała informacje o naszej polityce haseł, zabezpieczeniach stosowanych przez nas na stronie i sprzęcie, na którym pracujemy czy też o wykonywanych kopiach zapasowych. W większych podmiotach, sporządza się często dwa dokumenty: Politykę Ochrony Danych oraz Politykę Bezpieczeństwa Systemów Informatycznych, jednakże jeśli prowadzisz działalność na niewielką skalę, można to ująć w ramach jednego dokumentu.

Prowadząc bloga musisz zwrócić uwagę jeszcze na takie, niezwykle istotne kwestie:

♦ informację o plikach cookies i odpowiedniej zgoda na ich używanie;
♦ odpowiednią treść checkboxów przy zapisie na newslettera;
♦ jeśli dokonujesz sprzedaży w sklepie internetowym, odpowiednią treść muszą mieć także checkboxy tam się znajdujące;
♦ powinieneś przemyśleć gdzie i w którym momencie informujesz o przetwarzaniu danych, np. przez odesłanie do Polityki Prywatności.

W zależności jak rozbudowana jest Twoja działalność powinieneś pomyśleć także u udokumentowaniu przeprowadzonej analizy ryzyka.

Powierzenie przetwarzania danych osobowych

Jeśli powierzasz przetwarzanie danych osobom trzecim, musisz zawrzeć z nimi umowę powierzenia przetwarzania. Umowa taka może być zawarta także w formie elektronicznej, na przykład poprzez akceptację regulaminu w kupowanej usłudze, jeśli regulamin zawiera postanowienia odnośnie powierzenia przetwarzania danych.

Musisz zweryfikować więc, jakie podmioty uczestniczą w przetwarzaniu, najczęściej biorąc pod uwagę działalność polegającą na prowadzeniu bloga będą to:

♦ hostingodawca – przechowuje gromadzone przez ciebie dane na serwerze,
♦ dostawca systemu mailingowego – przechowuje po swojej stronie dane osób, które znajdują się na twoich listach mailingowych,
♦ firma informatyczna.

Jeśli zaś zajmujesz się sprzedażą będzie to także:

♦ dostawca programu do wystawiania faktur – przechowuje po swojej stronie dane osób widoczne na fakturach,
♦ biuro rachunkowe – przetwarza dane osobowe, które są widoczne na fakturach,
♦ firma kurierska – przetwarza dane przy wysyłce zamówień.

Jak widzisz, nawet przy prowadzeniu bardzo niewielkiej działalności polegającej na prowadzeniu bloga, nie unikniesz wymagań stawianych przez RODO. Nie postrzegaj tego jako zbędnej papierologii, gdyż chodzi o to, aby nikt nieuprawniony nie uzyskał dostępu do przetwarzanych przez Ciebie danych i ich nie usunął, a przede wszystkim, żeby takie dane nie wyciekły w sposób niekontrolowany.

Wzór Rejestru Czynności Przetwarzania znajdziesz na stronie Urzędu Ochrony Danych. Jeśli zaś potrzebujesz pomocy przygotowaniu tego bądź pozostałych dokumentów, zachęcam Cię do kontaktu.

Polityka cookies – razem czy osobno z Polityką prywatności?

 

Pozostajemy jeszcze przez chwilę w tematyce plików cookies. Dzisiaj ciąg dalszy na temat prawnych obowiązków związanych z użyciem plików cookies z punktu widzenia właściciela strony czy też sklepu on-line.

Z ostatniego posta dowiedziałeś się, jak powinna wyglądać prawidłowa zgoda na użycie plików cookies. Tam także zamieściłam ogólny zarys tematu z wytłumaczeniem, do czego służą pliki cookies i jakie są ich rodzaje oraz jak się mają do zagadnień związanych z ochroną danych osobowych.

Kto nie czytał, zapraszam tutaj:

https://kancelariamwg.pl/2020/05/25/o-plikach-cookies-raz-jeszcze-jak-powinna-wygladac-prawidlowa-zgoda-na-ich-uzywanie/

 

Przepisy wymagają, aby na stronie internetowej zalazła się informacja o plikach cookies, której treść przewiduje ustawa z dnia 16 lipca 2004 roku – Prawo telekomunikacyjne (t.j. Dz. U. z 2019 roku, poz. 2460). A jeśli przetwarzamy dane osobowe, musimy umieścić jeszcze klauzulę dotyczącą przetwarzania danych osobowych, przewidzianą przez RODO.

Co powinna zawierać Polityka cookies?

Informacja o plikach cookies przybiera często postać Polityki cookies. Powinny znaleźć się tam następujące informacje:

♦ tym czym są i do czego służą pliki cookies, w jaki sposób wykorzystywane są one na Twojej stronie internetowej lub w sklepie on-line,

♦ celach, w jakich wykorzystujesz pliki cookies,

♦ rodzajach plików cookies, jakie wykorzystujesz,

♦ możliwościach zarządzania ustawieniami przeglądarki i plikami cookies i o skutkach takiego zarządzania, a więc o tym, iż ograniczenie bądź wyłączenie stosowania plików cookies może spowodować utrudnienia w korzystaniu z niektórych usług w ramach strony.

Pamiętaj, że o niektórych kwestiach musisz poinformować użytkownika przed użyciem plików cookies. Wyrażenie przez użytkownika zgody powinno nastąpić, kiedy otrzyma on informacje o celu przechowywania i uzyskiwania do nich dostępu oraz iż użytkownik może zarządzać ustawieniami przeglądarki (określić warunki przechowywania i uzyskania dostępu do plików cookies).

W praktyce, taką informację w „okrojonej” wersji mamy już w pojawiającym się okienku zawierającym zgodę na używanie cookies. Często znajduje się tam również odesłanie do Polityki cookies lub Polityki Prywatności.

Takie rozwiązanie jest jak najbardziej dopuszczalne, gdyż gdyby pojawiała się od razu informacja ze wszystkimi wymaganymi szczegółami, utrudniłoby to korzystanie ze strony. Ponadto, powiedzmy sobie szczerze, osoba, która nie jest zainteresowana tematyką i tak nie czytałaby tych informacji.

Czy Politykę cookies musimy w jakiś sposób wyodrębnić od Polityki Prywatności?

Teoretycznie możemy sobie wyobrazić stronę, która nie przetwarza danych osobowych. W mojej ocenie, obecnie coraz trudniej taką znaleźć. Jeśli dane osobowe są przetwarzane, a wystarczy do tego korzystanie np. z usług Google Analytics, masz również obowiązek spełnienia obowiązków przewidzianych przez RODO.

Dlatego też, wygodniejszym rozwiązaniem będzie połączenie Polityki cookies i Polityki Prywatności.

Nie ma prawnych przeszkód, aby miały one osobną postać, jednakże wpisanie ich do jednego dokumentu, oczywiście z wyszczególnieniem tekstu (podzieleniem na np. na rozdziały i punkty) będzie czytelne i funkcjonale.

Pamiętaj, że jeśli chodzi o sklepy internetowe, potrzebny będzie jeszcze Regulamin. Często więc w sklepach online zamieszcza się dwa dokumenty – Politykę Prywatności, zawierającą informację o plikach cookies oraz Regulamin sklepu internetowego.

Informacja, którą przekazujesz powinna być jasna o zrozumiała dla odbiorcy. Jeśli przytoczymy np. przepisy Prawa Telekomunikacyjnego, przeciętny odbiorca wyłączy się po jednym zdaniu:) Dlatego zwróć uwagę na język jakim się posługujesz.

O plikach cookies raz jeszcze – jak powinna wyglądać prawidłowa zgoda na ich używanie?

Już od dłuższego czasu toczy się dyskusja, czy na używanie plików cookies na stronie internetowej niezbędna jest zgoda (a także, w jaki sposób ją uzyskać?), czy też wystarczy tylko poinformowanie użytkownika o ich używaniu i wskazanie na możliwość zmiany preferencji w ustawieniach przeglądarki.

Funkcjonowanie strony internetowej w oparciu o pliki cookies jest dla właściciela strony, serwisu czy sklepu internetowego niezbędne do skutecznego prowadzenia działalności on-line.

Jeśli nigdy nie zastanawiałeś się, czemu służą pliki cookies, pokrótce postaram się poniżej wyjaśnić kilka najważniejszych kwestii technicznych, ważnych z mojego punktu widzenia jako prawnika.

Czy aby na pewno chodzi tylko o pliki cookies?

Prawo telekomunikacyjne mówi nam bowiem o informacji przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego. Pliki cookies nie są jedynymi przechowywanymi informacjami, mogą to być bowiem takie narzędzia jak na przykład web storage (pliki DOM storage), których używa się już chyba częściej niż standardowych plików cookies (tak przynajmniej twierdzą zaprzyjaźnieni informatycy😉).

Nie zagłębiając się w szczegóły techniczne, będziemy używać nazwy pliki cookies, gdyż jest ona powszechnie używana. Bardziej jednak zgodne z rzeczywistością byłoby używanie nazwy „informacja przechowywana w telekomunikacyjnym urządzeniu końcowym”, co jednak może wywoływać pewne utrudnienia.

Jednym zdaniem można powiedzieć, że w plikach cookies zamieszczane są pewne informacje, które są wymieniane pomiędzy konkretną stroną internetową, a przeglądarką na podstawie adresu IP. Dzięki tym mechanizmom strona potrafi zapamiętać co ostatnio oglądaliśmy, jak długo to trwało i jak często pojawiamy się na danej stronie. Pliki cookies pozwalają też na dodawanie produktów do koszyka, gdy robimy zakupy w sklepie internetowym. Dzięki nim dopasowywane są do nas reklamy i inne treści. Odpowiadają też za zapamiętywanie ustawionych przez nas haseł.

Wyróżniamy kilka rodzajów cookies, z tym że najważniejszy z mojego punktu widzenia to podział na własne, czyli te które pochodzą z odwiedzanej przez Ciebie strony internetowej oraz zewnętrzne, pochodzące z witryny zewnętrznej. Najczęściej używanymi plikami cookies zewnętrznymi są cookies Google Analytics, które wykorzystują pliki do analiz stron internetowych, gdyż gromadzą informacje o sposobie korzystania przez internautów z analizowanej strony, czy też związane z wykorzystaniem rodzaju wtyczek do portali społecznościowych takich jak Facebook, Instagram, Twitter.

Ważne są także tzw. cookies niezbędne, które umożliwiają korzystanie z usług dostępnych na danej stronie internetowej, nie zawierają danych osobowych i usuwane są z chwilą zamknięcia przeglądarki.

 

Pliki cookies a dane osobowe

Dzięki niezbędnym plikom cookies przeszliśmy płynnie do zagadnień związanych z ochroną danych osobowych.

Na początek należy podkreślić z całą stanowczością, że cookies ≠ dane osobowe.

Kilkukrotnie spotykałam się z takim twierdzeniem rozmawiając z Klientami, którzy twierdzili: „a no tak, musimy zrobić tą Politykę, bo cookies to dane osobowe”.

Nie możemy tutaj stawiać znaku równości. Jest to duży skrót myślowy. Kiedyś ktoś posłużył się przykładem, że cookies to takie same dane osobowe jak szafa czy dysk twardy. Mam nadzieję, że powyższy przykład bardzo dobrze zobrazuje Ci fakt, że pliki cookies mogą zawierać dane osobowe (służyć do ich przechowywania), ale też danych osobowych zawierać nie muszą. Nie dochodziłoby tym samym na tej podstawie do przetwarzania danych osobowych.

 

Jak jest z tą zgodą na używanie plików cookies?

Po raz pierwszy kwestia uzyskania zgody na pliki cookies pojawiła się w dyrektywie 2002/58/WE (dyrektywa o prywatności i łączności elektronicznej), gdzie zmieniono sposób wyrażania zgody na przechowywanie plików cookies i zastąpiono dotychczasową możliwość wyrażenia sprzeciwu obowiązkiem uzyskania uprzedniej zgody.

Zmianę tę odzwierciedlono w art. 173 Prawa Telekomunikacyjnego i wprowadzono zmianę regulującą możliwość wyrażenia zgody na przechowywanie lub uzyskiwanie dostępu do plików cookies przez abonenta lub użytkownika końcowego za pomocą ustawień oprogramowania zainstalowanego w urządzeniu końcowym lub konfiguracji usługi.

Jeśli więc nie wyrażasz drogi użytkowniku zgody na używanie cookies, samodzielnie zmień sobie ustawienia strony.

Wygodne?

Tak – przecież nikt nawet nie czyta wyskakujących okienek przy wejściu na stronę. Zamykam okienko i nic więcej mnie nie obchodzi.

Czy jest to prawidłowa zgoda w rozumieniu przepisów o ochronie danych osobowych?

Można mieć wątpliwości i od początku wejścia w życie tych przepisów, wątpliwości się pojawiały. Przeciętny użytkownik Internetu nie ma bowiem wiedzy w tym zakresie i często, wystarczających umiejętności.

Zgoda zaś powinna być według RODO dobrowolna, konkretna, świadoma i jednoznaczna.

Jednakże wyrażenie zgody przez ustawienia przeglądarki przewiduje Prawo Telekomunikacyjne i nawet po wejściu RODO niewiele się w tym zakresie zmieniło. Czasem dochodziło do pewnych rozróżnień, inaczej traktowano cookies zawierające dane osobowe, inaczej zaś te, za pomocą których dane osobowe przetwarzane nie były.

Powszechne było więc wyłącznie poinformowanie, że cookies są używane, w jakim celu, a także udostępniano link do strony z polityką cookies, gdzie zainteresowane osoby znajdą odpowiednie informacje. Czasem pojawiały się zgody w postaci przycisków „akceptuj”.

 

1 października 2019 roku Trybunał Sprawiedliwości Unii Europejskiej ogłosił wyrok w sprawie sposobu uzyskiwania zgody na instalowanie plików cookies (sprawa dotycząca niemieckiej spółki Planet49 GmbH, sygnatura sprawy: C-673/17).

Sprawa dotyczyła loterii organizowanej przez powyższą spółkę. Żeby wziąć udział w loterii, użytkownik musiał zgodzić się albo na kontakt z różnymi firmami w celach reklamowych, albo na instalację plików cookies. Pierwsza zgoda była do zaznaczenia samodzielnie. Druga, gdzie mieliśmy pliki cookies, była zaznaczona domyślnie, czyli biorąc udział w loterii użytkownik automatycznie zgadzał się na instalację plików cookies. Pliki wykorzystywane przez Planet 49 zawierały numer przypisany do danych rejestracyjnych użytkownika, który w formularzu uczestnictwa podawał swoje imię i nazwisko oraz adres. A więc dochodziło do przetwarzania danych osobowych.

Z powyższego wyroku TSUE wynika kilka następujących wniosków:

♦ zgoda na przechowywanie i dostęp do informacji zbieranych przez cookies nie jest ważna, jeśli została udzielona przez domyślnie zaznaczone okienko wyboru (od razu w checkboxie mamy kliknięty „ptaszek” w miejscu, gdzie występuje zgodna na cookies); tutaj może nie ma zbyt wielkiej rewolucji, bo dzięki RODO zaczęliśmy zwracać uwagę, aby domyślnie zaznaczone zgody się nie pojawiały, choć – nawet dzisiaj – odwiedziłam stronę z zaznaczonym „ptaszkiem” przy cookies,

♦ wymóg wyrażenia przez użytkownika odpowiedniej zgody nie zależy od tego, czy za pomocą cookies przetwarzamy dane osobowe, czy też przechowywane bądź udostępniane informacje nie stanowią danych osobowych,

♦ użytkownik strony internetowej powinien otrzymać informację na temat dostępu osób trzecich do tych plików i okresu ich funkcjonowania.

Po publikacji tego orzeczenia pojawiły się głosy, że w Polsce nie ma potrzeby wyrażania odrębnych zgód na instalowanie plików cookies, gdyż cały czas obowiązuje u nas przepis, że  za zgodę uważa się domyślne ustawienia przeglądarki. Tyle, że po wyroku TSUE właściciele serwisów internetowych muszą przeanalizować, czy informują swoich użytkowników, np. o tym, komu przekazują dane i jak długo działają ciasteczka. Ewentualnie zaś, kiedy cookies zbierają dane osobowe, można zastanowić się nad zgodą w rozumieniu RODO w formie zaznaczenia odpowiedniego okienka.

Czy aby na pewno należy zgodzić się z takimi wnioskami? W mojej ocenie pojawia się tutaj pewna sprzeczność, bo albo zakładamy, że zgoda w postaci ustawień przeglądarki jest zgodna z przepisami dotyczącymi ochrony danych osobowych, albo zaś tych wymogów nie spełnia.

Orzecznictwo europejskie coraz bardziej idzie w tym kierunku, iż cookie, który zawiera identyfikator, do którego przypisywana jest historia przeglądanych stron i innych interakcji traktuje się jakby miał cechy danych osobowych, czemu dano wyraz w wyroku w sprawie C-673/17.

Można nawet iść dalej i powiedzieć, że nie ma innej możliwości niż wyrażenie zgody na cookies przez wyrażenie zgody w postaci jednoznacznego i konkretnego działania. Nie może być to zgoda bierna.

Nie ma więc znaczenia, czy cookies zawierają dane osobowe, czy też nie (poza cookies niezbędnymi do korzystania ze strony).

Sama więc informacja o możliwości dokonania zmian w ustawieniach przeglądarki w przeważającej ilości przypadków nie będzie wystarczająca.

Jak powinna zatem wyglądać prawidłowa zgoda na używanie plików cookies?

Zgoda powinna być wyrażona przez zaznaczenie odpowiedniego okna, bądź naciśnięcie przycisku. Nie musi figurować tam stwierdzenie „wyrażam zgodę”, może to być np. „akceptuję” albo też często pojawiające się: „rozumiem i akceptuję”.

Dotyczy to plików innych niż te niezbędne do korzystania ze strony. Niezbędne pliki cookie nie są przechowywane w trwały sposób na komputerze lub innym urządzeniu użytkownika i są usuwane z chwilą zamknięcia przeglądarki jak np. wspomniane już użycie koszyka przy zakupach.

Możesz się tutaj zdecydować na coraz częściej pojawiające się rozwiązanie, iż zaproponujesz użytkownikowi strony na jakie pliki cookies wyraża zgodę, na jakie zaś nie (będzie mógł wybrać odpowiednią możliwość w pojawiającym się okienku dotyczącym cookies). Jest to rozwiązanie, które zasługuje na aprobatę. Może też być krótka informacja  z odniesieniem do Polityki Prywatności, ale też z przyciskiem np. akceptuję.

Przykład:

Strona wykorzystuje pliki cookies w celu prawidłowego jego działania, korzystania z narzędzi analitycznych (Google Analytics)  oraz wtyczek społecznościowych (Facebook). Informacje na ten temat znajdują się w Polityce Prywatności.  Jeżeli wyrażasz zgodę na wykorzystywanie plików cookies, kliknij „Rozumiem i akceptuję”.

Nieprawidłowe więc jest informowanie o plikach cookies na podstawie wyłącznie pokazującego się paska z informacją, w sytuacji kiedy korzystamy z innych cookies niż niezbędne. Jako przykład mogę podać odwiedzany dzisiaj przeze mnie portal gov.pl. Z Polityki Prywatności znajdującej się na tej stronie wynika, że portal ten wykorzystuje pliki cookies na potrzeby Google Analytics, które wykorzystuje się do śledzenia ruchu na stronie. Brakuje więc prawidłowo udzielonej zgody.

Na koniec jeszcze jedna istotna wskazówka – zgoda powinna zostać udzielona wtedy, kiedy nie dojdzie jeszcze do użycia plików cookies. Nie może być tak, że pliki cookies zostaną zainstalowane, a następnie pojawia się zapytanie odnośnie plików cookies.