Nie mam pojęcia. Tzn mam 2 oszacowania - górne i dolne.
Górne oszacowanie: RODO wymaga mnóstwa pierdół, które w praktyce uniemożliwiają prowadzenie forum internetowego dla każdego, kogo nie stać na własnego prawnika, zaś niezastosowanie się do najdrobniejszego kruczka prawnego to 20 milionów euro kary.
Wydaje mi się, że to górne oszacowanie można skreślić - panika przy wprowadzaniu RODO tak mniej więcej głosiła, ale to FUD.
Dolne oszacowanie wydaje mi się być bardziej prawdopodobne, ale nie wiem czy to już nie zbytni optymizm:
Jeśli nie mam reklam Google, nie prowadzę profilowania, nie rozsyłam spamu etc, to w zasadzie nie muszę robić nic poza zdrowym rozsądkiem. Mogę pozyskiwać dane takie jak adresy e-mail (potrzebne do logowania), adresy IP (potrzebne dla celów moderacyjnych), mogę zapisywać cookies umożliwiające userom logowanie się czy zapamiętujące ustawienia strony bez ceregieli takich jak pozyskiwanie zgód i wyświetlanie wyskakujących okienek - wszystko to jest objęte legitimate interest. Oczywiście muszę upewnić się, że gimnazjalista script kiddie z bloku obok nie będzie w stanie pwnąć mojej strony i wykraść danych. Adresy IP wypadałoby usuwać po roku czy coś. Jeśli user zażąda usunięcia danych osobowych, to zmieniam nick jego konta na konto_usunięte_138402
i po sprawie; jeśli inne treści wprowadzone przez usera stanowią jego dane osobowe, to niech je mi wskaże. (Albo muszę jednak sam ich szukać?) O ile natomiast mam reklamy Google, prowadzę profilowanie, rozsyłam spam, itp, wtedy muszę wyświetlić nieśmiertelne pytanie o zgodę i nie wolno mi prowadzić ww działań jeśli tej zgody nie otrzymam. W każdym wypadku muszę mieć politykę prywatności, która w 2 zdaniach wyjaśnia, która z tych opcji zachodzi (prowadzę profilowanie vs robię tylko to, co konieczne do funkcjonowania strony) + adres kontaktowy [email protected]. Jeśli moja strona zostanie pwnięta, muszę donieść na siebie odnośnej instyntucji i poinformować userów.
Czy to, co napisałem wyżej, jest poprawne?