Forum i temu podobne strony - czego wymaga RODO?

Nie mam pojęcia. Tzn mam 2 oszacowania - górne i dolne.

Górne oszacowanie: RODO wymaga mnóstwa pierdół, które w praktyce uniemożliwiają prowadzenie forum internetowego dla każdego, kogo nie stać na własnego prawnika, zaś niezastosowanie się do najdrobniejszego kruczka prawnego to 20 milionów euro kary.

Wydaje mi się, że to górne oszacowanie można skreślić - panika przy wprowadzaniu RODO tak mniej więcej głosiła, ale to FUD.

Dolne oszacowanie wydaje mi się być bardziej prawdopodobne, ale nie wiem czy to już nie zbytni optymizm:

Jeśli nie mam reklam Google, nie prowadzę profilowania, nie rozsyłam spamu etc, to w zasadzie nie muszę robić nic poza zdrowym rozsądkiem. Mogę pozyskiwać dane takie jak adresy e-mail (potrzebne do logowania), adresy IP (potrzebne dla celów moderacyjnych), mogę zapisywać cookies umożliwiające userom logowanie się czy zapamiętujące ustawienia strony bez ceregieli takich jak pozyskiwanie zgód i wyświetlanie wyskakujących okienek - wszystko to jest objęte legitimate interest. Oczywiście muszę upewnić się, że gimnazjalista script kiddie z bloku obok nie będzie w stanie pwnąć mojej strony i wykraść danych. Adresy IP wypadałoby usuwać po roku czy coś. Jeśli user zażąda usunięcia danych osobowych, to zmieniam nick jego konta na konto_usunięte_138402 i po sprawie; jeśli inne treści wprowadzone przez usera stanowią jego dane osobowe, to niech je mi wskaże. (Albo muszę jednak sam ich szukać?) O ile natomiast mam reklamy Google, prowadzę profilowanie, rozsyłam spam, itp, wtedy muszę wyświetlić nieśmiertelne pytanie o zgodę i nie wolno mi prowadzić ww działań jeśli tej zgody nie otrzymam. W każdym wypadku muszę mieć politykę prywatności, która w 2 zdaniach wyjaśnia, która z tych opcji zachodzi (prowadzę profilowanie vs robię tylko to, co konieczne do funkcjonowania strony) + adres kontaktowy [email protected]. Jeśli moja strona zostanie pwnięta, muszę donieść na siebie odnośnej instyntucji i poinformować userów.

Czy to, co napisałem wyżej, jest poprawne?

Podstawowa sprawa - czy robisz to prywatnie/hobbystycznie, czy jako firma. Bo od tego bardzo wiele zależy. RODO posiada wiele wykluczeń, m.in ze względu na niekomercyjny/hobbystyczny charakter strony. Co oczywiście nie oznacza, że możesz trzymać dane swoich użytkowników w ogólnodostępnym pliku http://strona.pl/users.txt, bo takie coś i tak spowoduje problemy, czy to na gruncie RODO, czy innych przepisów. Ponadto pamiętaj o ważnej zasadzie - ZAWSZE zbieraj tylko tyle informacji, ile jest niezbędne, nie gromadź "na zapas - bo może kiedyś się przyda".

cerrato napisał(a):

Podstawowa sprawa - czy robisz to prywatnie/hobbystycznie, czy jako firma.

To pierwsze. (A dokładniej (jeszcze) nie robię, ale myślę nad tym).

Ponadto pamiętaj o ważnej zasadzie - ZAWSZE zbieraj tylko tyle informacji, ile jest niezbędne, nie gromadź "na zapas - bo może kiedyś się przyda".

Czy to znaczy, że nie wolno mi zapisywać adresów IP celem walki z abusive sockpuppetry aż do momentu, gdy ktoś rzeczywiście zacznie się w abusive sockpuppetry bawić?

Być może na tym gruncie jestem przewrażliwiony i nastawiam się na walkę z problemem, którego prawdopodobnie nie będzie - ale moje doświadczenia z uczestniczenia w rozmaitych społecznościach internetowych oraz - niestety, przyznaję się, nie bijcie - wandalizowania tych społeczności przez mojego ileś lat młodszego sobowtóra wskazują, że adresy IP trzeba pozyskiwać po to, by w razie czego móc zbanować na kilka godzin cały zakres adresów IP (przydało by się także banować open proxy).

Czy owo w razie czego nie jest powodem, dla którego nie wolno mi tak czynić?

Czy to znaczy, że nie wolno mi zapisywać adresów IP celem walki z abusive

Jak najbardziej - wolno Ci, ponadto w pewnych okolicznościach nawet jest taki obowiązek. Znaczy - jak się zgłoszą do Ciebie służby to powinieneś umieć wskazać kto i skąd się łączył/pisał. To gromadzenie danych nadmiarowych wyjaśnię na przykładzie sklepu internetowego:

gdy ktoś chce kupić np. telewizor, to weź od niego imię i nazwisko, adres, telefon i maila - czyli to, co jest niezbędne do realizacji zamówienia. Nie pytaj o PESEL, nazwisko panieńskie, imię matki albo czy pali papierosy - bo to nie jest Ci do niczego potrzebne. A czy możesz pytać np. o wzrost albo rozmiar buta? Jeśli sprzedajesz telewizor, to nie powinieneś. A w przypadku butów/ubrań? Tutaj temat jest dyskusyjny. Niby dałoby się to wyjaśnić, ale z drugiej strony może ktoś kupuje to na przykład na prezent, więc niekoniecznie jego rozmiar nie musi się pokrywać z rozmiarem zakupionych butów. Co do wyjaśnienia/uzasadnienia - przykładowo można powołać się na to, że znając jego/jej rozmiar będziesz w stanie np. podsyłać ofertę promocyjną/wyprzedażową (np. ostatnia para z tego rozmiaru -50%), ale z drugiej strony tutaj zahaczamy o zgodę na cele marketingowe, co wymaga jej osobnego wyrażenia, nie można jej łączyć z wyrażeniem na przetwarzanie danych w celach obsługi zamówienia.

W każdym razie - jeśli istnieje ryzyko. że ludzie przy użyciu Twojej strony mogą robić brzydkie rzeczy, to w mojej ocenie powinieneś takie rzeczy zbierać. Oczywiście - muszą być odpowiednio zabezpieczone przed dostępem osób niepowołanych, a do tego musisz gdzieś (np. w postaci akceptacji regulaminu podczas zakładania konta) poinformować użytkownika o tym fakcie i uzyskać jego zgodę.

cerrato napisał(a):

i uzyskać jego zgodę.

No ale właśnie o to chodzi, że mam silne wrażenie, że NIE MUSZĘ pozyskiwać zgód do zbierania danych objętych legitimate interest, w co wlicza się m.in. wszystko to, co niezbędne do świadczenia usług. Zgodę muszę pozyskać np na cookies do reklam Google czy do spamowania komuś maila informacją marketingową, ale nie do legitimate interest.

Może inaczej - bo chyba się nie rozumiemy. Wyjaśnię to na zasadzie często spotykanej sytuacji podczas dzwonienia na infolinię. Na ogół jest tam zapowiedź w stylu

Witamy w firmie Janusz-soft. Pracujemy od poniedziałku do września w godzinach 24/7. Wszystkie rozmowy mogą być rejestrowane, jeśli nie wyrażasz zgody to się rozłącz

I u Ciebie tak samo - nie tyle masz uzyskać zgodę na zbieranie adresów IP, co poinformować użytkowników gdzieś w regulaminie, że takie coś będzie stosowane. User akceptując regulamin wyraża zgodę/potwierdza, że się z tym zapoznał. Być może pewne czynności/obowiązki wynikają z jakichś dodatkowych przepisów, niemniej w mojej ocenie wspomnienie o tym w regulaminie (może nie jest na 100% wymagane, w tej chwili nie mam pewności) na pewno będzie dobrym pomysłem - z jednej strony użytkownicy będą mieli jasną sytuację, co się dzieje, a z drugiej to taki zapis będzie dla Ciebie dodatkowym dupochronem. Poza tym zauważ jeszcze, że to są dwie różne rzeczy - zgoda oraz poinformowanie. Nawet jeśli nie musi wyrażać zgody na dane czynności, ale powinien zostać poinformowany, żeby mógł świadomie podjąć decyzję, czy chce korzystać z takiej usługi, czy woli dać sobie spokój.

Do poczytania:
https://maruta.pl/pl/baza-wiedzy/379-status-prawny-adresow-ip-z-punktu-widzenia-zasad-ochrony-danych-osobowych-cz-ii
https://www.rp.pl/Firma/305219958-RODO-a-narzedzia-Google-obowiazki-dla-administratorow-i-wlascicieli-stron-internetowych.html
https://czasopismo.legeartis.org/2016/10/zbieranie-adres-ip-uzytkownik-blog-dane-osobowe.html (wprawdzie sprzed kilku lat, ale ogólne uwagi/przemyślenia trafne i nadal aktualne)
https://odo24.pl/najwazniejsze-akty-prawne

cerrato napisał(a):

Jak najbardziej - wolno Ci, ponadto w pewnych okolicznościach nawet jest taki obowiązek. Znaczy - jak się zgłoszą do Ciebie służby to powinieneś umieć wskazać kto i skąd się łączył/pisał.

Trzeba zapisywać IP użytkowników? A co jeżeli służby się zgłoszą, a takie informacje nie są zapisywane?

A co jeżeli służby się zgłoszą, a takie informacje nie są zapisywane

No to będzie stosowna kara :P Aczkolwiek nie powiem CI teraz (bo nie pamiętam i nie chce mi się szukać) ani w jakich okolicznościach/przy jakich typach usług elektronicznych jest to wymagane, w jakim zakresie ani jakie mogą być konsekwencje niedochowania tego obowiązku.

Dzięki za wyjaśnienia.

Czy user agent też muszę zapisywać?

Czy user agent też muszę zapisywać

Moim zdaniem to nie, ale jak pisałem wcześniej - przepisy mogą doprecyzowywać poszczególne sytuacje, typy świadczonych usług itp. Zresztą tak na logikę - UA można łatwo zmienić, więc nie jest to jakiś mocny dowód. Co innego adres IP - tutaj już trudniej to oszukać, więc taki adres ma znacznie większe znaczenie dowodowe.

U siebie walnęłam przy rejestracji kolejny ptaszek, z oświadczeniem, iż użytkownik, nie będzie zamieszczał na forum swoich danych osobowych.