Witam,
załóżmy ze posiadam prostego bloga. Chciałbym zapytać się jak powinienem przygotować go do RODO? Na blogu używane jest Google Analytics do statystyk, Google Adesne do reklam (jakieś grosze wpadają) oraz Disqus jako system komentarzy. Nic poza tym, nie ma żadnego formularza kontaktowego, logowania, tworzenia kont itp. Blog jest prowadzony przeze mnie jako osobę fizyczną, nie ma na to żadnej firmy. Co powinienem zrobić, aby spać spokojnie w kontekście RODO? W przypadku usług Google wystarczy polityka prywatności i zapisanie że z nich korzystam, ze generują one ciasteczka itd.? W przypadku Disqusa muszę cokolwiek robić? Tak w zasadzie to wszelkie dane ewentualnego konta są u nich, ja widzę tylko IP, nick i email osoby która napisze u mnie komentarz. Ciekawy jestem też jak ma się do tego to tzw. prawo zapomnienia, Disqus jest usługą niezależną ode mnie i nawet jeśli usunąłbym czyjeś komentarze to nie mam pojęcia co dalej z nimi Disqus robi i jakie ewentualnie informacje o użytkowniku ma.
Poradźcie, jak podejść dobrze do tematu? :)
Pozdrawiam
Ostatnio trochę interesuję się tematem więc napiszę jak ja to widzę i rozumiem po zapoznaniu się z kilkoma artykułami.
Jeśli na tym zarabiasz (AdSense) to musisz poinformować użytkowników co do czego, nawet jak nie jesteś firmą. Jakie dane i w jakim celu wysyłasz do Google. Że są wysyłane poza granice UE. Że użytkownicy są profilowani Jakie ciasteczka zapisuje Google w przeglądarce i do czego one są. Podobnie z Disqus. W tym wypadku to Ty jesteś administratorem danych i udostępniasz te dane zewnętrznym firmom.
A IP i email to również dane osobowe i jeśli je gdzieś u siebie trzymasz to musisz poinformować.
Głównie sprowadza się to wszystko do napisania polityki prywatności uwzględniającej co trzeba i zwracania uwagi na security (zmiany haseł, aktualizacje), żeby nie musieć być w sytuacji kiedy coś wyciekło.
w skrócie: jak masz firmę lub zarabiasz/przetwarzasz dane to musisz, jak masz prywatnie i tylko publikujesz to nie musisz
@mar-ek1: dziękuję bardzo za szybką odpowiedź
Muszę mieć na to wszystko jakieś papiery, tzn. podpisywać umowy np. z firmą hostingową? W przypadku usług od Google/Disqus jak rozumiem wystarczające jest akceptowanie ich regulaminów, czyli jakby umowa w formie elektronicznej? Jakaś wewnętrzna dokumentacja jest na to konieczna?
IP i emaila w sumie u siebie nie trzymam, wszystko to przechowuje Disqus u siebie, pomimo tego ja jestem administratorem tych danych? Mi to wygląda jakby ja tylko miał do nich wgląd a Disqus na moją "prośbę" realizował taką usługę, ale nie wiem, nie znam się na tym stąd pytam :p
Chciałbym też dopytać co w sytuacji gdy dodam logowanie się dla administratorów bloga? W chwili obecnej wpisy dodaje ręcznie, ale chciałbym zrobić mały panel administracyjny i zaprosić więcej osób, gdzie ktoś kto ma konto (email, imie i nazwisko, hasło) się loguje, dodaje wpis, może go edytować itd. Czy tu też wystarczy po prostu zgoda takiej osoby na przetwarzanie jej danych? Powinienem takową wyświetlić np. przy pierwszym logowaniu? Bądź może nie jest to konieczne i wystarczy tylko że ona takową wyraziła gdzieś mi poza blogiem i nie muszę bawić się w takie rzeczy? Takie osoby też będą miały zapewne dostęp do moderacji komentarzy z Disqusa, czy to znaczy że powinienem mieć z nimi jakieś umowy(?) które umożliwiałyby dostęp do danych osobowych jakimi są dane z komentarzy?
@czysteskarpety: firmy nie mam, zarobku na razie faktycznego też - grosze zbierają się na koncie Adsense, ale nim ja tam dojdę to progu wypłaty to miną wieki :P Jak jednak rozumiem nie ma to znaczenia i i tak zakładane jest, że zarabiam. "przetwarzanie danych" to kwestia którą średnio rozumiem, jak w przypadku Disqusa jeszcze to jest jasne, bo widzę email i IP użytkownika, tak w przypadku Google coś przetwarzam? Google sam zbiera pewne informacje o użytkowniku, ja nawet nie wiem dokładnie co (tylko tyle na ile Google mówi) i nie mam na to zbieranie żadnego wpływu, kontroli ani dostępu do tego.
Czy w przypadku, gdy mamy pewien serwis i jakaś osoba go odwiedza, to można tak bez jawnej zgody odwiedzającego (strony nie opuszcza, ale też niczego nie zaakceptował; nie ma konta) nadal używać cookies w przeglądarce?
Wklejając skrypt Analytics udostępniasz Googlowi dane swoich użytkowników. W końcu Google samo tego nie dokleiło ;) Z tym administratorem danych w RODO właśnie chodzi o to, żeby użytkownik nie wpadł w pętlę spychologii. Wchodzi na Twoją stronę więc Tobie udostępnia swoje dane. A że przy okazji dostaje je Google czy Disqus to już Twoja zasługa bo podłączyłeś takie usługi.
Powinno wystarczyć wspomnienie jakiej firmie udostępniasz, w jakim celu i link do ich polityki prywatności.
@mar-ek1: heh, no racja, rozumiem :)
A jeśli chodzi o drugą część, tzn. dodanie użytkowników i dostęp dla nich do komentarzy?
Chciałbym też dopytać co w sytuacji gdy dodam logowanie się dla administratorów bloga? W chwili obecnej wpisy dodaje ręcznie, ale chciałbym zrobić mały panel administracyjny i zaprosić więcej osób, gdzie ktoś kto ma konto (email, imie i nazwisko, hasło) się loguje, dodaje wpis, może go edytować itd. Czy tu też wystarczy po prostu zgoda takiej osoby na przetwarzanie jej danych? Powinienem takową wyświetlić np. przy pierwszym logowaniu? Bądź może nie jest to konieczne i wystarczy tylko że ona takową wyraziła gdzieś mi poza blogiem i nie muszę bawić się w takie rzeczy? Takie osoby też będą miały zapewne dostęp do moderacji komentarzy z Disqusa, czy to znaczy że powinienem mieć z nimi jakieś umowy(?) które umożliwiałyby dostęp do danych osobowych jakimi są dane z komentarzy?
Właśnie podcasta o tej tematyce wysłuchałem, więc zostawię dla potomności:
- RODO wchodzi do gry dopiero jak się zarabia na blogu, jak się nie zarabia można nic nie robić.
- powinno się zadbać o używanie aktualnego oprogramowania i https
- blog powinien mieć regulamin i politykę prywatności, która mówi o tym jakie dane są zbierane, po co i gdzie są przechowywane i komu powierzane, i o prawach jakie przysługują użytkownikowi, do poprawienia, udostępnienia czy też usunięcia tych danych
- w przypadku profilowania odwiedzającego, potrzebna jest jego zgoda zanim ono nastąpi
Jako administrator jesteś odpowiedzialny za wszystkie dane zbierane na Twojej stronie, jeśli ktoś robi to w Twoim imieniu to powinieneś mieć zawartą umowę o powierzeniu danych, może być w formie elektronicznej, biorąc pod uwagę że google i disqus to duże i znane rozwiązania to pewnie to załatwia automatycznie, bardziej bym się martwił o firmę hostingową w której bazy stoją.
Odnośnie dawania dostępu do danych pracownikom, to firmy powinny podpisywać umowy z pracownikami, w przypadku osób fizycznych nie było ani słowa o tym.
Odnośnie rejestracji to zawsze lepiej dać checkboxa na dole, i zapisać do w baazie, niż załatwiać coś na słowo ;)
Najlepsze w RODO jest to że wszędzie jest wspominane, że środki powinny być adekwatne do sytuacji, więc tak naprawdę dopiero czas pokaże co tak naprawdę jest wymagane.
A jak to powinno wyglądać, to najlepiej podejrzeć na blogu prawnika zajmującego się cyber bezpieczeństwem :)
https://www.cyberlaw.pl/prawnik-prawo-internetowe/ <- tutaj mamy przykład jak powinien wyglądać checkbox ze zgodą na przetwarzanie danych
https://www.cyberlaw.pl/zasady-korzystania/ <- tutaj jak powinien wyglądać regulamin i polityka prywatności
A zbieranie danych statystyczych jak anonimowe kliknięcia to również podchodzi pod profilowanie?
neves napisał(a):
biorąc pod uwagę że google ... to duże i znane rozwiązania to pewnie to załatwia automatycznie
Chyba sobie żartujesz. Google wysłał swoim wydawcom z Ad Exchange e-maila mówiącego, że muszą o prawie wszystko związane z RODO zadbać samodzielnie i że zastrzega sobie prawo do blokowania kont ze stronami niedostosowanymi do nowych przepisów.
@neves: dzięki za wyczerpujące info, w miarę rozumiem.
Jedna wątpliwość:
w przypadku profilowania odwiedzającego, potrzebna jest jego zgoda zanim ono nastąpi
Jako profilowanie mamy na myśli zbieranie statystyk na jego temat, dostosowywanie reklam? W takiej sytuacji to wręcz niewykonalne w normalnych warunkach, powinienem wyświetlać najpierw komunikat w stylu "profiluję cię, najpierw wyraź zgodę i dopiero przekieruję cię na właściwą stronę"? To byłoby totalnie słabe.
nohtyp napisał(a):
A zbieranie danych statystyczych jak anonimowe kliknięcia to również podchodzi pod profilowanie?
Jeśli zapisujesz tylko fakt że coś zostało kliknięte, bez uwzględniania IP to nie przetwarzasz danych personalnych.