RODO dla blogerów – ochrona danych osobowych na blogu

25 maja 2018 r. wejdzie w życie rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, czyli RODO. Do nowych przepisów muszą dostosować się nie tylko internetowi przedsiębiorcy, ale i blogerzy, vlogerzy, manufakturzyści i inni twórcy zarządzający danymi osobowymi. Jak przygotować się do nowych regulacji? Czy można zbagatelizować ten temat? Korzystać z pomocy prawnej czy samodzielnie dostosować stronę internetową? Specjalnie dla Ciebie przygotowałam podstawowe wskazówki dot. RODO dla blogerów.

 

RODO i przetwarzanie danych osobowych – co to w ogóle znaczy?

Zacznijmy od podstaw, by zrozumieć znaczenie RODO dla blogerów. Dane osobowe to wszelkie informacje służące do zidentyfikowania osoby fizycznej. Za pomocą strony internetowej możemy pozyskać m.in. imię i nazwisko użytkownika, jego adres e-mail, a także informacje pochodzące z plików cookies lub zbierane przez aplikację Google Analytics. Z kolei przetwarzanie danych osobowych to czynności związane z dokonywaniem jakichkolwiek manipulacji na tych informacjach, czyli np. ich zbieranie, przechowywanie, zarządzanie, przekazywanie podmiotom trzecim w celach marketingowych.

 

RODO dla blogerówDlatego jeśli:

  • posiadasz na stronie formularz kontaktowy,
  • zainstalowałeś kod śledzenia Google Analytics,
  • rozsyłasz newsletter,
  • organizujesz konkursy,
  • użytkownicy mogą komentować Twoje wpisy,

 

przetwarzasz dane osobowe i powinieneś dostosować się do nowych przepisów RODO.

 

Czy blogerzy i internetowi twórcy muszą przestrzegać RODO?

Tak. Rozporządzenie UE w tym zakresie nie pozostawia żadnych wątpliwości – wszyscy przedsiębiorcy i osoby fizyczne, które przetwarzają dane osobowe w ramach czynności niemających osobistego ani domowego charakteru muszą przestrzegać przepisów RODO. Obowiązująca do tej pory ustawa o ochronie danych osobowych (UODO) dotyczyła jedynie tych, którzy administrowali danymi w związku z działalnością zarobkową lub zawodową. Dlatego wielu blogerów nie przejmowało się przepisami, gdy prowadzony przez nich blog nie wiązał się z celami zarobkowymi.

 

Niestety, RODO nie pozostawia już żadnej furtki, ponieważ osobisty i domowy charakter przetwarzania danych dotyczy jedynie czynności, które robimy na własny użytek – np. zapisu danych kontaktowych w telefonie. Wysyłkę newslettera, wypełnienie formularza kontaktowego lub organizację konkursu nie da się pod to podciągnąć.

 

Jak spełnić wymagania RODO?

RODO narzuca przygotowanie wielu dokumentów, rejestrów, zestawień. Niezbędne będzie także wprowadzenie zmian na stronie internetowej – wdrożenie dodatkowych checkboxów ze zgodami na przetwarzanie danych, klauzul informacyjnych lub dodatkowych zapisów w regulaminie serwisu dotyczących zakresu administrowania danymi użytkowników.RODO blog

 

Niestety, nie jestem ekspertem od RODO, ale z racji tego, że na blogu przetwarzam dane osobowe, zainteresowałam się tematem. Przygotowałam listę podstawowych czynności, dzieląc je na obowiązkowe i fakultatywne. Poniższa checklista zawiera jedynie pewne wskazówki, a po rzetelną poradę prawną odsyłam do prawników 🙂

 

Obowiązki wewnętrzne (dokumentacja):

  • rejestr czynności przetwarzania danych osobowych (fakultatywny dla administratorów danych zatrudniających <250 osób, gdy nie ma ryzyka naruszenia praw lub wolności osób, których dane dotyczą) – dokument można stworzyć w postaci tabeli, wypisując poszczególne cele i zakres przetwarzania danych,
  • wykaz powierzeń przetwarzania danych (fakultatywny)- obejmuje podmioty, którym powierzamy jakieś dane do administracji, np firma hostingowa, dostawca systemu do komentowania lub mailingu,
  • polityka bezpieczeństwa i instrukcja zarządzania (fakultatywny) – można przygotować podobne dokumenty, ale nie stanowi to obowiązku administratora danych,
  • środki ochrony danych osobowych (fakultatywny/obowiązkowy)- programy antywirusowe, mocne hasła, certyfikat SSL, nieudostępnianie danych nieuprawnionym osobom itp. Im lepiej zabezpieczysz swoją stronę, tym większą zyskasz pewność, że informacje o Twoich użytkownikach są bezpieczne,
  • zgłaszanie incydentów naruszeń ochrony danych osobowych (obowiązkowy)- jeśli Twoja strona stanie się ofiarą ataku hakerskiego, a dane użytkowników zostaną ukradzione, w ciągu 72 godz. ten fakt musisz zgłosić do odpowiedniego organu. Na taką nieprzyjemną sytuację można się zawczasu przygotować, tworząc listę incydentów naruszeń danych,
  • powołanie inspektora ochrony danych osobowych (fakultatywny) – możesz go powołać, jeśli potrzebujesz wsparcia przy administracji danych, jednak od blogerów nie jest to wymagane.

 

Obowiązki zewnętrzne (zmiany na stronie):

  • zgody na przetwarzanie danych (obowiązkowy) – najlepszą praktyką jest przygotowanie osobnych checkboxów do wyrażenia poszczególnych rodzajów zgód przez użytkownika: na przetwarzanie danych np. w celu realizacji wysyłki newslettera, na przesyłanie informacji handlowych, na kontakt telefoniczny. Zgody nie powinny być domyślnie zaznaczone,
  • spełnienie obowiązku informacyjnego (obowiązkowy) – użytkowników należy poinformować o tym, kto i w jakim celu będzie przetwarzać ich dane osobowe, a także zaznaczyć, jak można cofnąć zgodę na zarządzanie danymi. Kontrowersyjny jest zakres informacji, które należy podać – w przypadku przedsiębiorców na pewno będą to pełne dane teleadresowe. Blogerzy reagują dość negatywnie na powinność umieszczenia swojego adresu domowego na stronie, ale być może taki obowiązek zostanie zniesiony przez polskie ustawodawstwo,
  • polityka prywatności (fakultatywny) – pomaga spełnić obowiązki informacyjne. Na takiej podstronie warto napisać o mechanizmie zbierania plików cookies itp.

 

RODO dla blogerów – czy czekają nas wysokie sankcje?

Myślę, że po wejściu w życie nowych przepisów kontrole obejmą przede wszystkim przedsiębiorców – w ich przypadku RODO przewiduje sankcje finansowe za niedopełnienie obowiązków w wysokości do nawet 20 mln euro lub 4% obrotu firmy za rok poprzedni. A jak będzie w przypadku blogerów i twórców działających w internecie? Mam nadzieję, że urzędnicy potraktują naszą społeczność ulgowo, szczególnie że wielu z nas dodaje nowe wpisy hobbystycznie, nie zarabiając na prowadzeniu strony internetowej.

 

  • Mam pytanie, jeśli do skomentowania mojego postu na blogu nie wymagam adresu e – mail i nigdzie nigdzie nie trzeba sie logować to muszę stosować RODO? Czy jeśli dostane komentarz od użytkownika zalogowanego w Google to musze to spisywać?

    • Nie jestem prawnikiem, więc moja odpowiedź opiera się na informacjach, które pozyskałam z interpretacji RODO. Pytanie, czy w jakikolwiek inny sposób przetwarzasz dane osobowe. Jeśli do komentarzy potrzebujesz tylko imię, to samo imię nie będzie daną osobową, więc nic nie trzeba dostosowywać. Jeśli komentarze pozyskujesz przez Google+, wtyczkę FB, czy Disqus (jak na mojej stronie), wtedy najlepiej w polityce prywatności lub regulaminie dać zapis, że przetwarzanie danych powierzane jest Google, FB lub Disqus. W przypadku zainstalowania na stronie Google Analytics lub innych aplikacji śledzących ruch na stronie, pamiętaj o komunikacie, że zbierasz pliki cookies – w ten sposób pozyskujesz dane o użytkownikach i użytkownicy mają prawo to wiedzieć. Podeślij adres strony w komentarzu lub przez formularz kontaktowy, to zerknę na nią 🙂