RODO na ostatnią chwilę.

RODO na ostatnią chwilę.

W syntetycznej pigułce: co powinniśmy zrobić związku z wejściem w życie RODO 25 maja 2018 – europejskiego rozporządzenia o ochronie danych osobowych.

Czy w ogóle jako bloger, który tylko pisze bloga i nie prowadzi podczepionej pod tego bloga działalności gospodarczej to całe RODO mnie dotyczy….

Bo np poprzednie GIODO nie dotyczyło nas w takiej sytuacji…. Ale ….

Okazuje się, że RODO już tak….

RODO dotyczy mnie wtedy, kiedy zbieram dane osobowe, bo mam zapisy na newsletter.
Ale nawet gdybym nie miała newslettera. A tylko możliwość dodawania komentarzy na blogu, to też ROBO by mnie dotyczyło. W momencie zostawiania komentarza, zostawiamy jakąś część swoich danych osobowych (np swój adres mailowy, często w formcie imię+nazwisko@cośtamcośtam i kropka.

Ale gdybym wyłączyła newsletter i możliwość dodawania komentarzy, to czy w zasadzie RODO by mnie nie dotyczyło?

I tu jest ten haczyk, bo z jednej strony tak. Z drugiej strony, kiedy mamy na blogu podłączone statystyki z Google Analytics, to dotyczy nas problem cookies…

Niby to inne rozporządzenie o e Reputacji…

Ale może jednak lepiej bliżej przyjrzeć się temu teraz, jak już i tak wszyscy oszaleliśmy na punkcie RODO….

Czyli zamiast szukać wymówek, bo może mnie to nie dotyczy, może po prostu lepiej stawić temu czoła. Tym bardziej, że zdaniem prawników, których ostatnio dość licznie słucham – nie taki diabeł straszny, jak go malują.

Bo RODO jest bardziej długowzroczne i bardziej skupia się na celech, jakie mają być osiągnięte (czyli temu, by jak najbezpieczniej przechowywać powierzone nam cudze dane osobowe, a przecież tutaj w grę wchodzi nasza reputacja).

Czyli RODO mówi, co ma być osiągnięte, a jak to zrobimy – pozostawia nam.

Co robić?

RODO (GDPR) - regulacje o ochronie danych osobowych

Czego wymaga od nas RODO?

RODO przede wszystkim skłania nas do zastanowienia się, jakie dane osobowe zbieramy (bo zbieramy je np prowadząc zapisy na newsletter i powierzamy je dalej, jak w moim przypadku MAILCHIMPOWI) i jak je zabezpieczamy.

I teraz: czy te wszystkie podmioty, którym powierzamy zbierane przez nas dane osobowe zapewniają im wystarczające bezpieczeństwo.

Tu RODO wymaga od administratora strony, by korzystał z takich produktów, które jak najlepiej zapewnią czy zabezpieczą zbierane przez niego dane osobowe.

Musimy wykazać, że nasze działania minimalizują to ryzyko.

I dlatego np warto wyposażyć się – tzn swoją stronę w certyfikat SSL.

RODO tego od nas nie wymaga (wdrożenia certyfikatu SSL). Bo RODO koncetruje się na celu: zbierane przez nas dane osobowe mają być bezpieczne. To my wybieramy metodę.

Ale certyfikat SSL sprawia, że połączenie z naszą stroną jest szyfrowane… To ta kłódeczka i https w adresie URL danej strony.

I to, że nasi czytelnicy zapisują się na nasz newsletter przez stronę zabezpieczoną certyfikatem SSL znowu może stać się, czy wykorzystać jako przewagę konkurencyjną.

RODO (GDPR) - regulacje o ochronie danych osobowych

Certyfikat SSL dostaczy Wam – za odpowiednią opłatą – oczywiście Wasz hostingodawca. W moim przypadku jest to ZENBOX

Bo mamy pilnować danych osobowych, które nam powierzono i mieć świadomość tego, co mamy w swoim posiadaniu. A jeżeli nam (czy naszemu podywkonawcy np firmie od wysyłki newslettera) te dane osobowe wyciekną w ciągu 72 h powinniśmy zgłosić to do odpowiedniego organu – samodonos.

Tak, RODO wprowadza obowiązek samodonosu na siebie, w razie wycieku zbieranych przez nas danych osobowych, niekoniecznie z naszej winy, np jeżeli ten problem zaistniał u podwykonawcy np w moim przypdaku Mailchimpa. Właściwie nie powinnam tego pisać, bo jeszcze wykraczę….

Znika obowiązek zgłoszenia bazy danych (osobowych z newslettera) do GIODO.

RODO nakłada na nas obowiązek by zebrać tyle danych ile tylko tyle ile jest nam potrzebnych.

Kolejnym z wymogów przewidzianych przez RODO jest stworzenie Rejestru Czynności Przetwarzania. Dlatego wyszczególniamy to wszystko w polityce prywatności…

Ale o tym, co należałoby zrobić po kolei i krok po kroku….

Bo tu chodzi przede wszystkim o to, żeby zrozumieć czym jest RODO i w jaki sposób możemy chronić przetwarzane przez nas dane osobowe.

Co jako blogerzy powinniśmy robić się, żeby wykazać się przynajmniej minimum dobrej woli z wpasowywaniem się w wymagania RODO.

RODO (GDPR) - regulacje o ochronie danych osobowych

1. Pierwszym krokiem powinno być w ogóle stworzenie strony z Polityką Prywatności,

czyli stworzenie takiego zbioru informacji o tym, w jaki sposób chronimy i przechowujmy powierzone nam dane osobowe (dane kontaktowe powierzone przy zapisie na newsletter, dane osobowe podane w formularzu w momencie zostawiania komentarza na czyimś blogu…).

I udowodnienia przy tej okazji, że wykazaliśmy się dobrą wolę i podjęliśmy działania…. by jak najlepiej je zabezpieczać (np certyfikat SSL, komputer zabezpieczony hasłem) i poinformować osoby, które może nie do końca świadomie nam je powierzają, że robią to właśnie w tej chwili np zostawiając swój adres mailowy.

Tutaj takim swego rodzaju „dupochronem” jest już na tym etapie dobra wola samego zainteresowanego, czyli to że poczyniłem pewne kroki.

Jeżeli będziemy mogli w związku z tym wykazać się dobrą wolą, czyli wykażemy się troską o zabezpieczenie i bezpieczne przechowywanie danych osobowych, które zostały nam powierzone w ten czy inny sposób ( np poprzez zapisanie się na naszą listę mailingową, czy poprzez zostawienie komentarza na naszym blogu).

I tutaj możecie zainspirować się tzn znaleźć w sieci rozliczne modele takiej polityki prywatności, dlatego że wiele osób zaczęło ogarniać ten temat dużo wcześniej, a teraz w newsletterach bombardują nas linkami do swojej strony z polityką prywatności. Aż się prosi o to, by zajrzeć i skompilować….

Jeżeli robicie to na ostatnią chwilę….

Z jednej strony może nie znajdziecie tu gotowego modelu, bo każdy korzysta z innych rozwiązań (np innego narzędzia do wysyłki maili). Czyli u każdego blogera ta polityka prywatności wyjdzie inna. Ale w sumie można dokonać kompilacji cudzych tekstów (tak namawiam Was do złego w imię dobrego, w imię prawa, w imię idei, że zrobione jest lepsze niż doskonałe. Bo zrobione jest lepszym dupochronem niż doskonały wymarzony projekt, który nigdy nie ujrzy światła dziennego).

I tak, co z tego, że wszyscy teoretycznie korzystamy z różnych rozwiązań, co daje całkiem sporą liczbę różnych kombinacji. Bo jeżeli korzystamy np z różnych rozwiązań do wysyłania newslettera, wystarczy zmienić Mailchimpa, czy Mailerlite na Freshmaila (i dla pewności podlinkować jego politykę prywatności, jeszcze bardziej przekonujący dupochron).

Podobnie jeżeli chodzi o system do komentowania na blogu, jedni korzystają z Disqusa, inni może mają bezpośrednio komenarze wmontowane w WordPressa.

Tych kombinacji może być kilka: ale model, szablon, schemat będzie jeden…

Można w tym sensie skorzystać z gotowego szablonu i po prostu uzupełnić go o swoje dane.

Ja tak przygotowałam na szybko swoją politykę prywatności:

Korzystam tutaj z Mailchimpa, czyli amerykańskiego systemu do przesyłania newslettera, który jednak dopasował się do naszego europejskiego RODO, mając w gronie swoich użytkowników osoby pochodzące z Unii Europejskiej. Dla nich dopasował się do naszych europejskich rozporządzeń.

Korzystam tu z systemu do komentowania, jakim jest Disqus, który podobnie dopasował się do europejskiego rozporządzenia o ochronie danych osobowych. Właściwie już nie, bo zrezygnowałam z Disqusa…

Mój komputer jest zabezpieczony hasłem. Czyli komputer, na którym teoretycznie przechowuję, czy do którego ktoś nieprawomyślny mógłby mieć dostęp – do czyiś danych osobowych (adresy mailowe osób, które komentują na moim blogu). Ale żeby wejść do mojego komputera trzeba znać hasło. Więc to punkt dla mnie, czyli kolejna mała cegiełka do lepszego zabezpieczenia powierzonych mi danych osobowych.

Kolejna rzecz: jeżeli macie bloga na wordpressie mam dla Was podręczne zestawienie wtyczek, które pewne rzeczy związane z RODO pozwolą Wam ogarnąć, albo de facto zrobią za Was…

WTYCZKI NA WORDPRESSA DO RODO.

RODO (GDPR) - regulacje o ochronie danych osobowych

2. Wtyczka WP GDPR Compliance

Ta wtyczka pomoże nam zebrać wymagane zgody (od osób powierzających nam swoje dane osobowe).

Wystarczy zainstalować tę wtyczkę, a ona już po jej odpowiednim skonfigurowaniu będzie podczepiała odpowiednie formularze np do komentarzy w ramach WordPressa, wtyczki WOO COMMERCE, czy formularzu kontaktowego w ramach wtyczki Contact Form.

RODO (GDPR) - regulacje o ochronie danych osobowych
Wchodzimy w Ustawienia wtyczki, celem jej skonfigurowania.
RODO (GDPR) - regulacje o ochronie danych osobowych
W Ustawieniach wybieramy Integracja – WP GDPR Compliance zostanie zintegrowane z zainstalowanym już na stronie wtyczkami, które wymagają dodania checkboxa, którego odhaczenie będzie oznaczać zgodę użytkownika na przechowywanie i przetwarzanie jego danych przez witrynę.
RODO (GDPR) - regulacje o ochronie danych osobowych
W Ustawieniach możemy jednocześnie podczepić naszą stronę z polityką prywatności.
RODO (GDPR) - regulacje o ochronie danych osobowych
Każdy użytkownik przy zostawianiu swojego komentarza zostanie poproszony o odhaczenie tego checkboxa.

I jeszcze kolejna rzecz, czyli COOKIES, które co prawda nie wypływają z RODO, tylko z innego rozporządzenia o e-reputacji.
Ale skoro już jesteście na fali, to może też warto się tym zająć.

RODO (GDPR) - regulacje o ochronie danych osobowych

Wtyczka Ginger Cookies EU LAW

RODO (GDPR) - regulacje o ochronie danych osobowych
Ustawienia wtyczki GInger Cookies EU LAW

 

3. Formularz zapisu na newsletter a RODO…

Podobnie dobrze byłoby dodać do formularza zapisu na newsletter checkbox, w którym osoba zapisująca się musi odhaczyć, że się zgadza na przetwarzanie swoich danych osobowych.

RODO (GDPR) - regulacje o ochronie danych osobowych

Jak i dobrze w tym miejscu (jak i w innych strategicznych miejscach) podczepić link do swojej polityki prywatności.

Z jednej strony te checkboxy przy zapisach na newsletter mogą odstraszać… od tego zapisu. Czyli z punktu widzenia czysto marketingowego – zmniejszać tzw. konwersję. Bo kiedy ktoś ma zostawić nie tylko swoje namiary, ale jeszcze odhaczyć checkboxa, to może mu się po prostu odechcieć….

Ale możemy wykorzystać to, żeby pokazać swoją przewagę konkurencyjną – bo bierzemy sobie do serca troskę o dane osobowe, które nam powierzasz. Jesteśmy kompatybilni z RODO.

Czy należy bać się RODO?

Bo RODO rzeczywiście przewiduje kary takie, które mają zaboleć, 4% rocznego obrotu albo 20 mln €.

Na co zwracają uwagę i uczulają specjaliści: po 25 maja 2018 (czyli po wejściu w życie RODO) mogą pojawić się osoby – cwaniacy, którzy będą wywierać nas nas presję, wysyłając z automatu maile:

że nasza strona nie jest dopasowana do wymogów RODO i związku z tym oni nie zgłoszą tego do odpowiedniego organu, jeżeli zapewnimy im odpowiednią kompensację pieniężną.

Co nazywa się – co tu owijać w bawełnę – szantaż.

A nawet jeżeli nie…

To prawdopodobnie pojawią się osoby, które w tym klimacie strachu, który towarzyszy RODO zobaczą okazję do zarobienia łatwych pieniędzy… np poprzez sprzedaż przygotowanych na szybko szkoleń z tego zakresu – na zasadzie czytamy razem ten przepis…

Prawdopodobnie trafią na jakiegoś jelenia….

Dlatego nie dajmy się zwariować.

Intencją przepisów jest to, że one się nie zestarzeją tak błyskawicznie z kolejną zmianą technologii.

RODO bardziej skupia się na celach (które mamy jako przetwarzający cudze dane osobowe osiągnąć – czyli ich jak najlepsze zabezpieczenie) niż na metodzie.

Np wcale nie musimy wymagać – jeżeli prowadzimy tego typu działalność – od logujących się u nas osób – zabezpieczeń hasłem złożonym z tylu i tylu znaków, tylu i tylu małych i dużych literek, nie zapominając o znakach szczególnych…. Od czego niejednego trafia szlag.

Bo może już za niedługo będziemy zabezpieczać swoje dane wejściowe za pomocą danych biometrycznych, czy to skanu naszych linii papilarnych albo naszego oka.

A dodatkowo w razie zgrzytu z prawem, czy wycieku danych osobowych z przechowywanych przez nas zasobów, okolicznością łagodzącą będzie to, jeżeli będziemy mogli wykazać się, że podjęliśmy kroki celem odpowiedniego zabezpieczenia i bezpiecznego przechowywania powierzonych nam danych osobowych.

Dlatego należałoby w ogóle zacząć od uświadomienia sobie- nie tyle problemu, bardziej – potencjalnych zagrożeń i tego, w jaki sposób dotyczy nas zagadnienie przechowywania cudzych danych osobych i jak moglibyśmy je lepiej chronić.

Powodzenia

Pozdrawiam serdecznie

Beata

Polecam na ten temat sporo rzetelnej wiedzy na blogu Tomasz Palak. pl

Beata Redzimska Vademecum Blogera
Beata Redzimska

Zapisz się na Newsletter

More from BEATA REDZIMSKA

Co robić, by nie stracić entuzjazmu przez cały rok ?

Zamarzyło mi się, by grudzień był na blogu miesiącem pozytywnych i motywujących...
Read More

9 komentarzy

  • Ja RODO zaczęłam ogarniać w połowie maja – tak jak proponujesz, popatrzyłam na polityki prywatności na innych blogach i skleiłam z tego coś własnego. Muszę przyznać (i tutaj przybijam piątkę RODO – bo faktycznie buduje u mnie świadomość jakimi danymi osobowymi zarządzam), że do tej polityki zaglądam co kilka dni i ją uaktualniam, bo albo coś jeszcze gdzieś doczytam, albo u kogoś podpatrzę, że coś warto jeszcze wspomnieć.
    Na początku obawiałam się tego całego RODO, ale teraz stwierdzam, że to wprowadzanie aż takie straszne nie było 🙂

  • Beatko, jeśli jestem blogerem, nazwijmy to – „hobbystycznym”, nie zarabiam na blogowaniu ani nie mam działalności gospodarczej, z którą blog byłby powiązany… w jakim stopniu obowiązuje mnie RODO?

    • Roman, a ludzie zostawiaja Ci swoj adres mailowy zlozony z imienia i nazwiska w komentarzach, albo zbierasz zapisy na newsletter = zbierasz dane osobowe, to moze chociaz powinienes pokusic sie o stworzenie strony z Polityka Prywatnosci i ewentualnie podczepienie odpowiedniego checkboxa, ze osoba, ktora komentuje zdaje sobie sprawe, ze powierza Ci swoje dane osobowe…

  • Świetny i bardzo potrzebny artykuł! W jednym miejscu zebrałaś chyba wszystkie najważniejsze i okazuje się, że RODO nie jest takie straszne 😉 Sama na początku obawiałam się, co to będzie z moim kawałkiem internetów kiedy RODO wejdzie w życie (zwłaszcza, kiedy zaczęła zalewać mnie fala maili i powiadomień o nowej polityce prywatności) ale można to ogarnąć 🙂

    Pozdrawiam!
    Przeliterowana

  • Rozumiem, że w przypadku bloga na którym jest GA oraz komentarze (bez newslettera) wystarczy checkbox pod polem komentarza z informacją o zbieraniu danych i polityce prywatności, tak?
    Czy wystarczy sama informacja pod polem komentarza + polityka prywatności na podstronie? Innymi słowy, czy checkbox jest konieczny…?

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *