O czym bloger musi pamiętać w kontekście RODO

Większość osób, która prowadzi blog musi mieć świadomość, że zgodnie z RODO jest administratorem danych osobowych, czyli decyduje o tym jak i w jakim celu dane są przetwarzane.

Przyjmuje się, że jedynie w przypadku, kiedy bloger pisze czysto hobbistycznie i nie zarabia na reklamach ani nie stanowi to marketingu osobistego, to RODO się nie stosuje (art. 2.2.c RODO). Jeżeli korzystasz więc z narzędzi do działań innych niż o „czysto osobistym lub domowym charakterze”, to odpowiadasz za to jako administrator danych osobowych, z czym jak pewnie się domyślasz, wiąże się szereg obowiązków. Nie przerażaj się zbytnio, chodzi o to żeby powziąć minimalne działania, które pozwolą na identyfikacje danych, które są przetwarzane, wdrożenie odpowiednich zabezpieczeń i ich udokumentowanie, żeby w razie kontroli wykazać, że działamy zgodnie z RODO.

Jakie czynności przetwarzania danych osobowych może wykonywać bloger?

Najczęściej czynnością przetwarzania będzie wysyłka newslettera prowadzona do użytkowników bloga. W tym przypadku, podstawą przetwarzania będzie zgoda. Jeśli prowadzisz w ramach bloga sprzedaż np. przygotowanego przez Ciebie e-booka mamy kolejną czynność przetwarzania. Pamiętaj, iż w przypadku sprzedaży podstawą przetwarzania nie będzie zgoda – to częsty błąd który pojawia się u administratorów – a cel realizacji umowy. Kolejną czynnością będzie umożliwienie komentowania. Jeśli korzystasz np. z WordPressa, po wejściu w swoim panelu w komentarze, widzisz e-mail, często imię i nazwisko czy adres strony internetowej. To wszystko są dane osobowe, a zatem ich gromadzenie jest czynnością do umieszczenia w rejestrze. Twoja strona na pewne będzie korzystała z plików cookies, które to w większości pozwalają na przetwarzanie danych osobowych (poza tzw. niezbędnymi plikami cookies), powinny być używane na podstawie zgody. Są bowiem wykorzystywane przykładowo w celu prawidłowego działania strony, korzystania z narzędzi analitycznych (Google Analytics) oraz wtyczek społecznościowych (Facebook).

Nie można więc mówić o przetwarzaniu danych w celu osobistym lub domowym, jeśli zbierasz komentarze na blogu (e-mail, nawet jeśli niewidoczny dla innych użytkowników na stronie, dla Ciebie jest widoczny), do tego zbierasz adresy e-mail, żeby wysyłać newsletter i śledzisz działania użytkowników. W szczególności wtedy, kiedy korzystasz z szeroko rozumianej reklamy.

Dokumenty, które są niezbędne, aby wykazać zgodność przetwarzania z RODO

Jak już zidentyfikujesz czynności przetwarzania, będą one stanowiły podstawę do sporządzenia Rejestru czynności przetwarzania (art. 30 RODO). To dokument, który pokazuje wszystkie procesy na danych osobowych, po co je przetwarzamy i kto ma do nich dostęp.

Na stronie powinna znaleźć się Polityka Prywatności, która będzie właściwie spełnieniem obowiązku informacyjnego, co jest wymagane przez RODO. Nie musi być żaden bardzo skomplikowany i sformalizowany dokument, powinien zawierać informacje dla użytkowników bloga, jakie dane są przez administratora przetwarzane i na jakiej podstawie, przez jak długi okres i komu są przekazywane. Jeśli korzystamy z wtyczek do portali społecznościowych jak Facebook, albo też z narzędzi Google, musimy to wyszczególnić i najlepiej dodać linka do Polityki Prywatności danej firmy.

Co prawda obecne przepisy wprost nie wymagają sporządzenia polityk ochrony danych, jednakże aby móc wykazać, że przetwarzamy dane zgodnie z RODO, dobrze jest posiadać taki dokument. Polityka ochrony danych to dokument, który nie powinien zostać udostępniony osobom trzecim, gdyż najczęściej opisuje techniczne zabezpieczenia związane z użytkowaniem strony. Będzie więc zawierała informacje o naszej polityce haseł, zabezpieczeniach stosowanych przez nas na stronie i sprzęcie, na którym pracujemy czy też o wykonywanych kopiach zapasowych. W większych podmiotach, sporządza się często dwa dokumenty: Politykę Ochrony Danych oraz Politykę Bezpieczeństwa Systemów Informatycznych, jednakże jeśli prowadzisz działalność na niewielką skalę, można to ująć w ramach jednego dokumentu.

Prowadząc bloga musisz zwrócić uwagę jeszcze na takie, niezwykle istotne kwestie:

♦ informację o plikach cookies i odpowiedniej zgoda na ich używanie;
♦ odpowiednią treść checkboxów przy zapisie na newslettera;
♦ jeśli dokonujesz sprzedaży w sklepie internetowym, odpowiednią treść muszą mieć także checkboxy tam się znajdujące;
♦ powinieneś przemyśleć gdzie i w którym momencie informujesz o przetwarzaniu danych, np. przez odesłanie do Polityki Prywatności.

W zależności jak rozbudowana jest Twoja działalność powinieneś pomyśleć także u udokumentowaniu przeprowadzonej analizy ryzyka.

Powierzenie przetwarzania danych osobowych

Jeśli powierzasz przetwarzanie danych osobom trzecim, musisz zawrzeć z nimi umowę powierzenia przetwarzania. Umowa taka może być zawarta także w formie elektronicznej, na przykład poprzez akceptację regulaminu w kupowanej usłudze, jeśli regulamin zawiera postanowienia odnośnie powierzenia przetwarzania danych.

Musisz zweryfikować więc, jakie podmioty uczestniczą w przetwarzaniu, najczęściej biorąc pod uwagę działalność polegającą na prowadzeniu bloga będą to:

♦ hostingodawca – przechowuje gromadzone przez ciebie dane na serwerze,
♦ dostawca systemu mailingowego – przechowuje po swojej stronie dane osób, które znajdują się na twoich listach mailingowych,
♦ firma informatyczna.

Jeśli zaś zajmujesz się sprzedażą będzie to także:

♦ dostawca programu do wystawiania faktur – przechowuje po swojej stronie dane osób widoczne na fakturach,
♦ biuro rachunkowe – przetwarza dane osobowe, które są widoczne na fakturach,
♦ firma kurierska – przetwarza dane przy wysyłce zamówień.

Jak widzisz, nawet przy prowadzeniu bardzo niewielkiej działalności polegającej na prowadzeniu bloga, nie unikniesz wymagań stawianych przez RODO. Nie postrzegaj tego jako zbędnej papierologii, gdyż chodzi o to, aby nikt nieuprawniony nie uzyskał dostępu do przetwarzanych przez Ciebie danych i ich nie usunął, a przede wszystkim, żeby takie dane nie wyciekły w sposób niekontrolowany.

Wzór Rejestru Czynności Przetwarzania znajdziesz na stronie Urzędu Ochrony Danych. Jeśli zaś potrzebujesz pomocy przygotowaniu tego bądź pozostałych dokumentów, zachęcam Cię do kontaktu.

Polityka cookies – razem czy osobno z Polityką prywatności?

 

Pozostajemy jeszcze przez chwilę w tematyce plików cookies. Dzisiaj ciąg dalszy na temat prawnych obowiązków związanych z użyciem plików cookies z punktu widzenia właściciela strony czy też sklepu on-line.

Z ostatniego posta dowiedziałeś się, jak powinna wyglądać prawidłowa zgoda na użycie plików cookies. Tam także zamieściłam ogólny zarys tematu z wytłumaczeniem, do czego służą pliki cookies i jakie są ich rodzaje oraz jak się mają do zagadnień związanych z ochroną danych osobowych.

Kto nie czytał, zapraszam tutaj:

https://kancelariamwg.pl/2020/05/25/o-plikach-cookies-raz-jeszcze-jak-powinna-wygladac-prawidlowa-zgoda-na-ich-uzywanie/

 

Przepisy wymagają, aby na stronie internetowej zalazła się informacja o plikach cookies, której treść przewiduje ustawa z dnia 16 lipca 2004 roku – Prawo telekomunikacyjne (t.j. Dz. U. z 2019 roku, poz. 2460). A jeśli przetwarzamy dane osobowe, musimy umieścić jeszcze klauzulę dotyczącą przetwarzania danych osobowych, przewidzianą przez RODO.

Co powinna zawierać Polityka cookies?

Informacja o plikach cookies przybiera często postać Polityki cookies. Powinny znaleźć się tam następujące informacje:

♦ tym czym są i do czego służą pliki cookies, w jaki sposób wykorzystywane są one na Twojej stronie internetowej lub w sklepie on-line,

♦ celach, w jakich wykorzystujesz pliki cookies,

♦ rodzajach plików cookies, jakie wykorzystujesz,

♦ możliwościach zarządzania ustawieniami przeglądarki i plikami cookies i o skutkach takiego zarządzania, a więc o tym, iż ograniczenie bądź wyłączenie stosowania plików cookies może spowodować utrudnienia w korzystaniu z niektórych usług w ramach strony.

Pamiętaj, że o niektórych kwestiach musisz poinformować użytkownika przed użyciem plików cookies. Wyrażenie przez użytkownika zgody powinno nastąpić, kiedy otrzyma on informacje o celu przechowywania i uzyskiwania do nich dostępu oraz iż użytkownik może zarządzać ustawieniami przeglądarki (określić warunki przechowywania i uzyskania dostępu do plików cookies).

W praktyce, taką informację w „okrojonej” wersji mamy już w pojawiającym się okienku zawierającym zgodę na używanie cookies. Często znajduje się tam również odesłanie do Polityki cookies lub Polityki Prywatności.

Takie rozwiązanie jest jak najbardziej dopuszczalne, gdyż gdyby pojawiała się od razu informacja ze wszystkimi wymaganymi szczegółami, utrudniłoby to korzystanie ze strony. Ponadto, powiedzmy sobie szczerze, osoba, która nie jest zainteresowana tematyką i tak nie czytałaby tych informacji.

Czy Politykę cookies musimy w jakiś sposób wyodrębnić od Polityki Prywatności?

Teoretycznie możemy sobie wyobrazić stronę, która nie przetwarza danych osobowych. W mojej ocenie, obecnie coraz trudniej taką znaleźć. Jeśli dane osobowe są przetwarzane, a wystarczy do tego korzystanie np. z usług Google Analytics, masz również obowiązek spełnienia obowiązków przewidzianych przez RODO.

Dlatego też, wygodniejszym rozwiązaniem będzie połączenie Polityki cookies i Polityki Prywatności.

Nie ma prawnych przeszkód, aby miały one osobną postać, jednakże wpisanie ich do jednego dokumentu, oczywiście z wyszczególnieniem tekstu (podzieleniem na np. na rozdziały i punkty) będzie czytelne i funkcjonale.

Pamiętaj, że jeśli chodzi o sklepy internetowe, potrzebny będzie jeszcze Regulamin. Często więc w sklepach online zamieszcza się dwa dokumenty – Politykę Prywatności, zawierającą informację o plikach cookies oraz Regulamin sklepu internetowego.

Informacja, którą przekazujesz powinna być jasna o zrozumiała dla odbiorcy. Jeśli przytoczymy np. przepisy Prawa Telekomunikacyjnego, przeciętny odbiorca wyłączy się po jednym zdaniu:) Dlatego zwróć uwagę na język jakim się posługujesz.