We wtorek w cyklu Ola Gości – RODO strona WWW – rozmawiałam z Tomaszem Palakiem. Przepytałam go o wiele kwestii dotyczących działalności w Internecie, czyli strony internetowej, bloga, newsletterów i komentarzy. Zapis rozmowy możesz obejrzeć tutaj, a jeśli potrzebujesz skondensowanej dawki wiedzy, to czytaj dalej. Warto się przygotować, bo RODO obowiązuje od 25 maja 2018 roku.
Temat: Ustawa RODO strona WWW 2018 – dowiedz się, co wdrożyć, gdy masz:
- Stronę WWW
- Formularz i zapis do newsletteru na stronie WWW
- Komentarze na WordPressie (w tym Disqus)
- Sklep internetowy
Do tego:
- Jak wygląda wzór polityki prywatności i zgody RODO w Internecie?
- Co grozi w przypadku kontroli, gdy nie spełniamy RODO?
- Co należy wprowadzić natychmiast przed RODO?
RODO strona WWW – czego potrzebujesz?
Konieczna jest polityka prywatności oraz informacja o ciasteczkach. Dzięki temu użytkownicy będą mogli jasno dowiedzieć się, w jaki sposób ich dane osobowe są przez nas przetwarzane.
Warto także zainstalować certyfikat SSL jeśli na swojej stronie WWW zbierasz dane – np. masz formularz kontaktowy bądź zapis do newslettera. Jak to zrobić krok po kroku, dowiesz się tutaj.
W przypadku prostej strony WWW – tzw. wizytówkowej, gdzie nie zbierasz danych osobowych innych osób nie ma konieczności instalowania certyfikatu SSL. Jednak mimo wszystko dobrą praktyką jest jego instalacja, bo zyskuje on na znaczeniu pod kątem SEO oraz Twoja strona WWW będzie w przeglądarce miała dopisek, że jest “Bezpieczna”.
Newsletter a RODO – czego potrzebujemy?
Sprawdź firmę
Bardzo ważna jest firma, z której usług korzystasz do rozesłania e-maila. Warto mieć na uwadze to, że RODO obowiązuje w krajach Unii Europejskiej i z lokalnymi firmami łatwiej będzie zadbać o kwestie RODO. Jeśli korzystasz np. z Mailchimpa (który jest ze Stanów Zjednoczonych) możesz poinformować o tym fakcie w swojej polityce prywatności oraz zamieścić link do standardów prywatności tej konkretnej firmy do wysyłki newsletterów.
Pamiętaj o zgodach w RODO
Każda osoba zapisująca się do newslettera musi wyrazić na niego zgodę. Treść zgody na wysyłkę newslettera nie musi być skomplikowana i trudna, ważne by wskazywała na to, czego dana osoba może się spodziewać otrzymując Twój newsletter. Może to być na przykład: “Zgadzam się na to, aby otrzymywać komunikację marketingową od administratora strony WWW (Twoja strona). Poinformowano mnie o moich prawach, które wynikają z polityki prywatności (link do polityki prywatności)”. W polityce prywatności należy umieścić informację, w jaki sposób można się wypisać z newslettera, czy zmienić swoje dane.
Gdzie umieścić zgody zapisu na newsletter?
Przy checkboxie zapisu do newslettera należy zamieścić zgodę dotyczącą dostawania emalii. Wtedy w mailu potwierdzającym należy umieścić szczegółową politykę prywatności, czyli co konkretnie będzie działo się z danymi osobowymi osoby, która zapisuje się na newsletter. Możesz wspomnieć, że jej dane będą tylko u Ciebie i u firmy do wysyłki newslettera, z której usług korzystasz.
Maile z różnych źródeł a RODO
Jeśli przez bardzo długi czas zbierasz kontakty na swoją listę mailingową i masz w bazie osoby, których kontakty pozyskałaś na spotkaniach networkingowych, targach, czy innych podobnych sytuacjach, to dobrze jest się dodatkowo zabezpieczyć i uzyskać powtórne potwierdzenie zapisu do newslettera od swoich odbiorców.
Co istotne – jeśli do tej pory zbierałaś wszystkie maile poprawnie, czyli według GIODO, to nie ma konieczności dodatkowego spamowania i rozsyłania powtórnego potwierdzenia zapisu do newslettera.
Notatka wizualna od Agaty Jakuszko z rozmowy z Tomaszem Palakiem – Ustawa RODO strona WWW.
Co z komentarzami na WordPressie?
Gdy masz komentarze WordPressowe, to są one umieszczone na hostingu. Musisz wspomnieć o tym w polityce prywatności, a także mieć umowę z hostingiem.
W przypadku komentarzy na Disqusie jest nieco inna sytuacja – osoby najpierw tworzą swoje konto na Disqusie, a potem dopiero komentują u Ciebie. Według Tomka tym samym nie musisz wdrażać nic dodatkowego w takiej sytuacji.
Social media a RODO
Prowadzisz profil na Facebooku i tam masz komentarze od swoich czytelników? Nie musisz robić nic dodatkowego, jeśli chodzi o RODO. Tak naprawdę to Facebook przechowuje dane komentujących na swoich serwerach. W ostatnich tygodniach Facebook zaktualizował swoją politykę prywatności dotyczącą ustawy RODO.
Inaczej wygląda sytuacja, gdy korzystasz z zewnętrznych programów do social mediów, które np. przechowują komentarze. Takie nie są polecane przez Facebooka, właśnie ze względu na możliwe wycieki i problemy z nimi związane.
Sklep internetowy i RODO
Wprowadzenie ustawy RODO wbrew pozorom może być Twoją przewagą nad konkurencją. Im bardziej ułatwisz swojemu klientowi zakup i wszystkie formalności z nim związane, tym lepiej.
Co nam grozi, jeśli nie przygotujemy się do ustawy RODO?
Istnieją kary za niewprowadzenie RODO a ich góra granica wynosi nawet 4% światowego rocznego obrotu, przy czym tyczy się ona ogromnych firm i korporacji, a nie przeciętnego użytkownika. Kary będą uzależnione od skali wycieku, Twoich standardów, czy procedur.
Kontrole będą przeprowadzone przez PUODO, czyli Prezes Urzędu Ochrony Danych Osobowych.
Wzory polityk prywatności i zgód
Nie warto korzystać ze wzorów polityk prywatności, zgód czy procedur. Te powinny być możliwie, jak najprostsze i dostosowane do naszej działalności. Najważniejsze jest to, by zawrzeć w nich wszystkie kluczowe informacje dotyczące przechowywania i przetwarzania danych osobowych.
Co należy wprowadzić natychmiast?
Do 25 maja warto umieścić na swojej stronie WWW poprawne zgody oraz politykę prywatności. Nawet, jeśli niedawno pisałaś taką zgodę, to może być ona już nieaktualna – szczególnie jeśli powołujesz się w niej na ustawę z 1997, czy GIODO. Zerknij także, czy w zgodzie wymienione są wszystkie prawa, które przysługują odbiorcy według ustawy RODO.
Masz WordPressa? Łap wtyczki, które Ci się przydadzą
Mam nadzieję, że w rozmowie z Tomkiem rozjaśniliśmy Ci nieco temat RODO i to, że nie jest ono takie straszne, jakby mogło się wydawać. Zastanawiasz się, jak technicznie poradzić sobie z wprowadzeniem wszystkich wytycznych do WordPressa? Te wtyczki ułatwią Ci to zadanie:
WP GDPR Compliance
Wtyczka, dzięki której szybko dodasz checboxy ze zgodą na swoją stronę WWW. Wtyczka ta jest nie tylko prosta w użyciu, ale także podpowiada, jakie zgody są wymagane w określonych sytuacjach.
Wtyczka GDPR
GDPR to wtyczka do WordPressa za pomocą której możesz dodać naprawdę wiele funkcji na swoją stronę WWW. Zaczynając od okna ze zgodą na wykorzystywanie plików cookies, poprzez przyciski chęci usunięcia konta przez użytkownika, czy formularz naruszenia danych osobowych.
Wtyczka Ginger – EU Cookie Law
Wtyczka WordPress do ciasteczek, która jest łatwiejsza w konfiguracji niż GDPR. Działa ona na zasadzie blokowania plików cookies, dopóki użytkownik nie wyrazi zgody na ich użycie. Co ważne — integracja z niektórymi serwisami i usługami zewnętrznymi może być płatna.
Konfiguracja wtyczek do RODO w WordPressie
Poniżej VIDEO, jak skonfigurować te wtyczki do RODO pod WordPressa, a jeśli wolisz wersję tekstową to tutaj artykuł: RODO WordPress plugin – poradnik jakie wtyczki wybrać i jak skonfigurować?
RODO strona WWW
Potrzebujesz jeszcze więcej informacji o RODO? Tomasz Palak przygotował kurs, dzięki któremu krok, po kroku przygotujesz wszystkie zgody, politykę prywatności, a także etapami wprowadzisz wszystkie wymagania koniecznie w RODO na swojej stronie WWW.
Jak to wygląda u Ciebie?
Wdrożyłaś już RODO i Twoja strona internetowa jest już na to gotowa? Czy może dopiero będziesz się za to zabierała w najbliższych dniach? Daj znać w komentarzach z czym masz największy problem, aby wszystko dobrze przygotować w Internecie.
35 Komentarze
Fajny temat! Dzięki!
Dzięki Ola za ten wpis! Tego było mi trzeba po webinarze.
A co myślisz o wtyczce GDPR od Trew Knowledge? Ma sporo funkcji, ale nie umiem jej jeszcze ogarnąć.
Nadaje się nieźle do RODO, ale można w alternatywie wybrać Ginger Cookie Law – we wtorek na YT wleci filmik z ich konfiguracji.
A czy ktoś sprawdził czy to faktycznie działa? Zainstalowałem Ginger Cookie Law i niestety coś tu jest chyba nie tak. Przy opcji Opt-in, czyli bardziej restrykcyjnej, nadal przepuszcza niektóre cookie np. facebooka, disqus i w moim przypadku też openstreetmaps. Interesujące jest to że nie wyświetlają się komentarze disqus bez akceptacji cookies, ale przeglądarka już wyszczególnia używane cookies disqus. Najlepiej działa na Google, ale podczas testowania różnych ustawień potrafiło blokować ciasteczka Google ale partnera reklamowego DoubleClick działało. No średnio to wygląda, chyba że czegoś tu nie rozumiem. Trzeba przetestować też inne wtyczki.
W razie jakichkolwiek problemów najlepiej pisz bezpośrednio do supportu wtyczki: https://wordpress.org/support/plugin/ginger – u siebie wybrałam opcję mniej restrykcyjną z informacją w polityce prywatności, że z poziomu przeglądarki user może wyłączyć obsługę ciasteczek na stronie. Wydaje mi się ta droga bardziej PRO user, bo kto tak naprawdę klika w te zgody ciasteczkowe? Bardzo często chodzimy po stronie i nawet w to nieklikniemy i udajemy, że to nie istnieje. A niestety niektóre rozwiązania potrzebują tych ciasteczek, aby działać.
A co z Adsense i Analytics w przypadku osób prywatnych?
Polityka prywatności dotycząca cookiesów na pewno będzie konieczna do rozpisania, bo korzystają one z ciasteczek.
A jak sprawa wygląda przy blogerze mają swoją domenę?
Niestety nie orientuję się, mam bloga na WordPressie i pomagam ze stronami na WP. Trzeba by było zorientować się, co Google pisze na ten temat.
To mi trochę bardziej rozjasnilo ? na blogu mam Disquas i teraz nie wiem czy mimo to powinnam robić rejestr czynności czy segregowac komentarze? A jak to będzie np przy tworzeniu konkursu? ?
Tak, bo masz bloga na serwerze, który zapewne zbiera logi, w których jest adres IP, a jest ton przez niektórych uznawany już jako dana osobowa.
Dzięki za wyjaśnienie 🙂
A jak to jest w przypadku osób, które np mają blog, a nie mają firmy? Gdzieś wyczytałam, że osób nie prowadzących firmy Rodo nie dotyczy, ale nie wydaje mi się to prawdziwe zważywszy na to, że jednak na blogu w jakiś sposób te dane się przetwarza.
Dobrze Ci się wydaje.
Zbierasz/przetwarzasz jakiekolwiek dane osobowe (a ciężko tego właściwie nie robić), to podpadasz pod RODO – nie ma znaczenia to, czy robisz to jako firma, czy nie.
Ok, dzięki w takim razie za upewnienie mnie w temacie.
Absolutnie się nie zgadzam z powyższą odpowiedzią. Poszukaj w internecie artykułów na ten temat. Polecam również poczytać samo RODO – art. 3a ust. 1 pkt 1 plus motyw 18.
Polecam choćby końcówkę owej 18-tki.
Wprawdzie w punkcie mowa jest o działalności osobistej/domowej, to jednak zalecał bym daleko idącą ostrożność, bo nie wszystko może pod nią podpadać. Z przepisami już tak jest, że nie można ich sobie wybiórczo traktować i mogą być różnie interpretowane (nie koniecznie tak, jak to sobie wyobrażamy). Jak to mawiają ….strzeżonego Pan Bóg strzeże. 😉
ps. Ale może się mylę i w ramach “hobby” jestem poza prawem i mogę robić co dusza zapragnie? – oj, było by fajnie, już widzę ogrom możliwości jakie by to dawało. ;p
Nie rozumiem Twojego odwołania do końcówki 18-tki. To dotyczy “administratorów lub podmiotów przetwarzających, którzy udostępniają środki przetwarzania danych osobowych”, a zatem nie np. twórców bloga. Co do analizy prawnej, to pozwolę sobie odwołać się do mojego artykułu: https://sjezierski.pl/prawo/rodo-strach-ma-wielkie-oczy/ (tam przedstawiam szeroką argumentację). Oczywiście zgadzam się, że przepisy mogą być różnie interpretowane i nie twierdzę, że moje stanowisko jest niepodważalne, ale nie mogę zgodzić się z twierdzeniem, że ” nie ma znaczenia to, czy robisz to jako firma, czy nie”. Zgodnie z cytowanymi wyżej przepisami – ma to istotne znaczenie (choć nie rozstrzygające, bo możesz prowadzić bloga jako nie-przedsiębiorca, ale np. przy okazji reklamować pewne firmy, co sprawia,że blog ma już charakter komercyjny).
Kwestia jest dyskusyjna i warto zaczekać na jakieś stanowisko PUODO w tym zakresie, aczkolwiek ważną wskazówką jest opinia GIODO, do której nawiązuje w ww. artykule.
Nic nie będę instalowałna swoich kilku stronach. Nie zbieram danych, nie mam komentarzy. Strony są informacyjne. Wyskakujące okienka są denerwujące. U mnie użytkownik spokojnie czyta treść i nie musi wyłączać upierdliwych okienek z informacjami, zgodami itp. Teraz zamiast wyskakujących reklam, z których nikt nie jest zadowolony, ustawodawca zaaplikował nam wyskakujące gówniane okienko z instrukcją postępowania. Dość ingerencji w wolny internet i swobodny przepływ informacj. Precz z upierdliwymi paskami, okienkami i innym zbędnym badziewiem.
To wszystko nie jest takie proste jak się wydaje, nie wiem czy w krótkim komentarzu uda mi się to uchwycić.
Przypomnę, że w celu osobistym/domowym można gromadzić w zasadzie dowolne dane (w tym wrażliwe), z dowolnych źródeł. Nadmienię też, iż podpierając się opiniami GIODO i orzecznictwem, cel ten ma granicę i należy go traktować wąsko, nie szeroko. Charakter niezawodowy/niehandlowy jest tylko dookreśleniem celu, nie jego jedynym kryterium. Czyli mówimy tutaj o swego rodzaju dozwolonym użytku własnym, niepublicznym, zaś publikacja danych powinna być już regulowana prawnie. Nie brnąc głębiej w meandry tego zagadnienia, na gruncie sieciowym można powiedzieć, że w sporej mierze zależy, czy nasza aktywność jest w charakterze użytkownika (np. taki FB, WPcom, Blogger, Twitter etc. -oni odpowiadają za infrastrukturę, sposób przetwarzania i przechowywania, oni podpadają pod GDPR/RODO i muszą spełnić wytyczne ….chociaż i tutaj da się spełnić przesłanki dzięki którym wypadniemy z roli użytkownika i sami staniemy się adminem), czy w charakterze administratora (samodzielnie hostujemy stronę, zatem w pełni odpowiadamy za jej działanie, za to co i w jaki sposób jest przetwarzane, gdzie i jak przechowywane, gdzie i komu udostępniane). No i tutaj już trudno się od RODO wymigać 😉 Już nawet nie wchodzę w to niejasne dookreślenie niezawodowego/niehandlowego charakteru, z jeszcze bardziej absurdalną wersją “niezarobkowy” – gdzie nawet sporna jest forma owej korzyści ….a w ten sposób charakteru komercyjnego można się doszukać niemal wszędzie.
Podsumowując, zgadzam się, że każdy przypadek należy rozpatrywać indywidualnie.
Co do firma, nie firma – jeden pies, nie będę się tutaj upierał. Wychodzimy po prostu z różnych stron – dla ciebie może ważniejsze KTO, dla mnie CO i w CELU. Zwłaszcza, że odwrotnie też widzę wykluczenie. Ty widzisz to jako “niektórzy w pewnych okolicznościach podpadają pod RODO”, ja widzę to jako “niektórzy tylko w pewnych okolicznościach pod RODO nie podpadają”. Nie zgadzam się z uproszczeniami pokroju “nie zarabiam” = RODO mnie nie obowiązuje. Dalej, jako użytkownik różnych serwisów raczej się pod RODO nie podpada (choć można), jednak prowadząc samodzielnie jakiś serwis raczej już się podpada.
Mam strone tylko po angielsku, czy muszę tam zamieszczać politykę prywatności w języku polskim? To strona biznesowa.
RODO dotyczy ochrony danych osobowych w całej UE i tam jest znane pod skrótem GDPR, więc jeśli przetwarzasz dane i działasz na terenie UE to Cię to wszystko obowiązuje, ale skoro jest Twoja stronka po angielsku to polityka prywatności na logikę też powinna być po angielsku.
Ten wpis to prawdziwa kopalnia praktycznej informacji o RODO, za co dziękuję 🙂 Mam jednak pytanie, na które nie jestem w stanie znaleźć odpowiedzi. Załóżmy, że wysyłam komuś maila – powiedzmy personalizowany newsletter (każdy odbiorca dostaje swoją indywidualną treść), w który są informacje wrażliwe o odbiorcy. Mam zgodę na przetwarzanie tych danych, ale jeśli wysyłam je temu komuś mailem, to czy nie naruszam prawa udostępniając te dane operatorowi hostingu, na którym odbiorca ma skrzynkę mailową? Byłbym wdzięczny za informację. Pozdrawiam
Nie sądzę, aby tak było, bo to odbiorca powinien ze swoim operatorem maila załatwiać te sprawy. Ale warto to jeszcze skonsultować może z prawnikiem.
Dzięki za konkretny artykuł! Dysponujesz może wiedzą o wtyczkach na Drupala?
Dzięki! Niestety w moich kompetencjach jest głównie WordPress.
Witam, jeżeli nie zbieram żadnych informacji, a jedynie zostawiam prosty formularz kontaktowy to czy mogę zostawić tekst: “ta strona nie zbiera żadnych informacji, a właściciel ma w dupie rodo i komisarzy unijnych i ich pomysłodawców”
Hej! Nie bardzo niestety, bo posiadając formularz kontaktowy zbierasz dane osobowe, jeśli masz podpięte statystyki to z kolei jest potrzebne powiadomienie o ciasteczkach. A przez niektóre interpretacje adres IP jest uznawany jako dana osobowa, a każdy hostingodawca w logach zapisuje IPki osób odwiedzających, więc taka informacja w polityce prywatności przydałaby się.
Rodo – kurz opadł, dostałem kilka maili z ostrzeżeniem o wykorzystywanie danych osobowych i tak naprawdę na tym się skończyło. Po prostu kolejny jednorazowy obowiązek w życiu przedsiębiorcy.
Nie do końca się zgodzę. Rodo można uznać za pewien obowiązek, ale jest to w pewny sensie kamień milowy dla internetu i kolejny krok ku bezpieczeństwu naszych danych personalnych w internecie. Oczywiście, nie będziemy w stanie uniknąć różnych wycieków spowodowanych np. przez hackerów, ale możemy zminimalizować niechcianą korespondencje czy przekazywanie danych podmiotą trzecim. Obstawiam, że RODO to początek i doczekamy się kolejnych zmian na tej płaszczyźnie.
Witam, mam stronę www tylko informacyjną z tekstem i zdjęciami na temat działalności naszej firmy. Nie mam formularza do kontaktu, nie mam komentarzy, nie prowadzę sprzedaży produktów przez stronę. Czy ja też muszę umieszczać to RODO? Zadzwoniła do mnie jakaś Pani propozycją opracowania tego Rodo za kwotę 1200 zł – szok.
Warto by było stworzyć politykę prywatności i politykę cookies, jeśli zbierane są ciasteczka np. przez statystyki.
Istnieje gdzieś jakiś wzór do bloga dotyczący przestrzegania rodo?
Zajrzyj do Wojtka Wawrzaka na bloga, ma zestawy dokumentów elektronicznych.