Kilka dni temu, gdy pisałem artykuł o “Rozporządzeniu o Ochronie Danych Osobowych (RODO/GDPR) nie tylko w kontekście działalności internetowej” skupiłem się na kwestiach prawnych/teoretycznych, ale zapowiedziałem też, że postaram się do tematu jeszcze powrócić, by spróbować od strony praktycznej spojrzeć na względnie bezboleśnie “wdrożenie RODO” na stronie internetowej (blog, strona firmowa, sklep internetowy, newsletter). Więc tym razem teorii będzie niewiele, a skupię się na kilku elementach, gdzie “coś tam” warto (nie tylko pod RODO) dodać czy zmodyfikować.
Spis treści w artykule
RODO w kontekście działalności internetowej
O RODO (inaczej GDPR) jest głośno, i nie ma co się dziwić – patrząc na skalę, jest to chyba pierwsza tak poważna zmiana, wprowadzana na taką skalę (dotyczy wszystkich obywateli Unii Europejskiej), i dotycząca tak ważnego zagadnienia, jakim jest ochrona i przetwarzanie danych osobowych. Na nasze szczęście, choć RODO reguluje wiele nieuregulowanych dotychczas aspektów przetwarzania danych osobowych, to również sporo dereguluje.
Brak konieczności zgłaszania zabiorów (klientów sklepu internetowego, komentujących, czytelników newslettera) to nie jedyna zmiana. RODO sprawia, że niektóre zgody mogą być odbierane poprzez akcję, bez konieczności zabawy w checkboxy. Tak samo wszelkie komunikaty wręcz nie powinny być pisane “prawniczym żargonem”, a językiem prostym, zrozumiałem przez przeciętną osobę. Jestem w stanie sobie nawet wyobrazić, że ktoś mógłby pokusić się o przygotowanie polityki prywatności w formie filmu, i wcale nie musiałaby to być “gadająca głowa” odczytująca znużonym głosem kolejne prawnicze regułki. Ma być prosto, prostym językiem.
Dokumenty związane z przetwarzaniem danych osobowych
I choć biurokracji po ostatecznym wejściu w życie RODO powinno być mniej (np. brak zgłaszania zbiorów do GIODO), to jednak każdy podmiot przetwarzający dane osobowe powinien – jako dokumentację wewnętrzną – prowadzić rejestr czynności przetwarzania, czyli dokument, który jasno określa kto, w jakim celu, kiedy i do jakich danych z naszego rejestru ma dostęp. Do tego warto opracować/przygotować jakiś dokument, który będzie jasno określał nasze wewnętrzne procedury dotyczące przetwarzania danych osobowych. Więcej na ten temat pisałem w naszym poprzednim artykule o RODO, do którego lektury serdecznie zachęcam…
Powierzenie przetwarzania danych osobowych
Niezależnie od naszych wewnętrznych dokumentów związanych z przetwarzaniem danych osobowych powinniśmy (i nie wynika to tylko z RODO) zawrzeć umowę powierzenia przetwarzania danych osobowych z każdym podmiotem, któremu takie dane przekazujemy. Mogą to być firmy hostingowe, firmy księgowe, firmy świadczące usługi e-mail marketingu, czy ogólnie biorące udział w procesach realizowanych przez nas, w trakcie których następuje udostępnienie im danych osobowych nam powierzonych. O takim fakcie (powierzenie przetwarzania danych osobowych) powinniśmy również poinformować użytkownika, np. w naszej polityce prywatności.
Na szczęście wraz z RODO taka umowa powierzenia przetwarzania danych osobowych może zostać zawarta w formie elektronicznej, w tym np. poprzez akceptację regulaminu serwisu, z którego usług korzystamy.
Strona internetowa zgodna z RODO
I tak w większości zwykłych stron internetowych wystarczy stworzyć stronę z polityką prywatności (nie jest wprawdzie ona wymagana, ale można przyjąć, że dobrym zwyczajem/pomysłem jest jej utworzenie, i tam umieszczenie wszelkich wymaganych informacji), na której – nawet własnymi słowami – wystarczy napisać kim jesteśmy, czy i ew. jakie dane zbieramy, oraz w jakim celu (np. kontakt, statystyki, newsletter). Do tego kilka zdań o tym, że użytkownik ma prawo wglądu do swoich danych, prawo ich poprawiania, żądania zaprzestania ich przetwarzania, itp., itd. To jest chyba jedyny moment, gdzie faktycznie warto zerknąć do ustawy i/lub do naszego wcześniejszego wpisu o RODO. Bo choć jest to proste, to pewne elementy trzeba w takiej polityce zawrzeć.
Jeśli mamy formularz kontaktowy, to można ewentualnie pokusić się o dodanie informacji, że wysłanie wiadomości jest tożsame z akceptacją naszej polityki prywatności, dotyczącej przetwarzania danych osobowych:
Wydaje się, że nie jest to obowiązkowe, ale… na wszelki wypadek można dodać, bo jednak mamy tu już do czynienia z przetwarzaniem danych osobowych. I tak jak pisałem, można pokusić się o rezygnację z dodatkowego checkboxa, bo taką zgodę/akceptację można przyjąć poprzez czynność, którą jest w tym przypadku wysłanie wiadomości.
Informacja o polityce prywatności
Wprawdzie już chyba wszyscy się przyzwyczailiśmy do wyskakujących ze wszystkich stron informacji o ciasteczkach, to naprawdę nie jest to potrzebne. Również w kontekście RODO. W większości przypadków wystarczy link w menu czy w stopce.
Komentarze na blogu
Pozostawienie przez użytkownika (czytelnika) komentarza na blogu, to również przetwarzanie danych osobowych, a co za tym idzie… można pomyśleć również tutaj o dodaniu odpowiedniej informacji (w przypadku WordPressa można skorzystać z wtyczki PRyC WP: Add content to comment form):
Powiadomienia o nowych komentarzach
Zastanawiałem się również jak podejść do tematu użytkowników, którzy podczas pozostawiania komentarza wybrali opcję, że chcą być powiadamiani o nowych komentarzach dochodzących danego wpisu, lub tylko odpowiedzi na ich komentarze. Wariant najbardziej skrajny zakładał, że można wyzerować wszystkie tego typu subskrypcje.
Uznałem jednak, że skoro użytkownik nie tylko musi wskazać, że chce aktywować tego typu powiadomienia, ale również – dodatkowo – musi wyrazić taką wolę klikając z link w wiadomości z prośbą o takie potwierdzenie, to być może jednak warto zostawić te powiadomienia. W końcu wynikając one ze świadomego działania użytkownika, który dodatkowo może w każdej chwili z nich zrezygnować.
Jedna zgoda = jeden cel przetwarzania
Należy jednak pamiętać, że tak jak pisałem w poprzednim artykule zgoda przyjęta w ten sposób raczej nie powinna dotyczyć przetwarzania danych w celach innych niż kontakt lub np. marketing produktów i usług własnych (tu dodatkowej zgody nie potrzebujemy). Jeśli dodatkowo chcemy zapisać użytkownika do newslettera, czy przesyłać mu w przyszłości wiadomości marketingowe (zlecone przez zewnętrzne podmioty) powinniśmy dla każdego z tych celów oddzielnie odebrać zgodę, np. poprzez dodanie dodatkowych checkboxów.
Przypominam też, że by zgoda była odebrana prawidłowo, nie mogą one być domyślnie zaznaczone – użytkownik musi wykonać akcje, czyli w tym przypadku zaznaczyć odpowiednie pola przy konkretnych zgodach. Choć mogą one być wyrażone również przez wykonanie innych czynności, ale w myśl zasady jedna zgoda = jedna czynność przetwarzania danych.
Sklep internetowy
W przypadku sklepu internetowego tak naprawdę mamy taką samą sytuację, jak w przypadku “zwykłej strony internetowej”, z tą tylko różnicą, że zakres przetwarzanych danych, jak i cel tego przetwarzania będzie znacznie bardziej rozbudowany, a tym samym należny dodatkowe informacje umieścić w regulaminie sklepu (bądź polityce prywatności).
Takie dodatkowe informacje – oprócz tego, że przetwarzamy szerszy zakres danych osobowych – to m.in. podmioty, którym dane przekazujemy, choćby na potrzeby procesu realizacji zamówienia. Mogą to być systemy księgowe i płatnicze, firmy kurierskie/pocztowe… Istotne jest to, że nie trzeba wymieniać konkretnych podmiotów, wystarczy wymienić ich typy/kategorie. Do tego dochodzi kilka dodatkowych ograniczeń związanych z przetwarzaniem danych, bo mamy tu do czynienia z zawarciem umowy, która jest wiążąca dla obu stron, i przetwarzanie niektórych danych – przynajmniej przez jakiś czas – może być niezbędna dla procesów związanych z transakcją (np. dostawa, gwarancja, rękojmia).
I nie, nie ma potrzeby dodawania dziesiątek checkboxów, z e zgodami na przekazania danych do firmy księgowej, do systemu płatniczego czy do firmy zajmującej się logistyką i dostawą. To są elementy wprost wynikające z zawartej z użytkownikiem umowy, i tym samym do jej realizacji nie potrzeba dodatkowych zgód. Oczywiście co innego, gdy będziemy chcieli zapisać dodatkowo użytkownika na newsletter – wtedy obowiązuje oczywiście zasada jedna zgoda = jedna czynność przetwarzania danych.
W przypadku Newslettera również uważam, że nie zmieni się aż tak wiele, i jeśli wcześniej – przed RODO – zgody były odbierane w sposób prawidłowy, tj. zgodnie z obowiązującym prawem, to można tak zebrane dane osobowe przetwarzać nadal. Choć tutaj pewnym problemem może być to, czy we wcześniejszych komunikatach przekazaliśmy na pewno wszystkie wymagane informacje, bo RODO jednak trochę rozszerza ten zakres (np. okres przechowywania danych, podstawa prawna przetwarzania danych, prawo do bycia zapomnianym, prawo do przenoszenia danych).
Pewnym problemem może być to, że w w przypadku RODO dużo większy nacisk jest położony na to, byśmy w razie np. kontroli mogli jasno wskazać, że dane (adres e-mail, ew. imię) zostały pobrane w sposób zgodny z prawem. Dlatego zawsze powtarzam wszystkim w kontekście m.in., newsletterów, że należy adresy zbierać w opcji double opt-in, czyli takiej, gdzie użytkownik po podaniu swojego adresu e-mail, zanim zostanie dopisany do naszej bazy danych musi potwierdzić swój adres e-mail.
Zabezpiecza nas to nie tylko przed pomyłkami, czy żartami, ale pozawala też – zwłaszcza w świetle RODO – unikać formularzy zbudowanych np. tak:
Oczywiście jest to formularz jak najbardziej poprawny, i powiedzmy szczerze, nawet niespecjalnie mocno przekombinowany. Ale skoro mamy możliwość odebrania zgodny za pomocą konkretnej czynności, którą ma wykonać użytkownik (tak, taką czynnością może być teoretycznie samo pozostawienie adresu e-mail w formularzu newslettera, ale…), i wiemy już, że jednak lepiej zabezpieczyć swoją bazę przed przypadkowymi adresami e-mail przy pomocy dodatkowej wiadomości z linkiem potwierdzającym, to można wszelkie prawne regułki (ale napisane przystępny językiem ;-)) przenieść do wiadomości z linkiem do potwierdzenia subskrypcji (potwierdzając subskrypcję akceptujesz, że…), a sam formularz zachować z trochę bardziej minimalistycznej formie:
Na upartego ten formularz jest na tyle jasny, że faktycznie można by uznać pozostawienie adresu e-mail w nim już za wystarczające wyrażenie zgody, ale… dodatkowe potwierdzenie tylko wyjdzie nam i naszej bazie na dobre. Pamiętajcie tylko, o zasadzie jedna czynność = jedna zgoda…
Rewitalizacja starej bazy e-mail
Jeśli ktoś z Was ma już bazę adresów e-mail, to może się zastanawiać czy i ew. jak odebrać zgody w kontekście RODO od dotychczasowych subskrybentów. I tu wracamy do tego, że jeśli wcześniej – przed RODO – zgody były odbierane w sposób prawidłowy, tj. zgodnie z obowiązującym prawem, to można tak zebrane dane osobowe przetwarzać nadal. I teoretycznie nie trzeba podejmować żadnych dodatkowych działań. Można ewentualnie rozesłać do użytkowników (subskrybentów) e-mail z informacją, jakie ich dane przetwarzamy, jeszcze raz – na wszelki wypadek – przedstawić się kim jesteśmy, i w jakim celu przetwarzamy dane, i skierować ew na stronę z naszą polityką prywatności.
Jest to na pewno wariant najoptymalniejszy w sytuacji, gdy zależy nam na wielkości naszej bazy (i mamy pewność co do wcześniejszego procesu zbierania zgód), bo można przyjąć, że rezygnacje zapewne jakieś się pojawią, ale będzie ich stosunkowo niewiele.
Wariant bardziej ryzykowny – przynajmniej jeśli chodzi o wielkość bazy, bo z prawnego punktu wiedzenia jak najbardziej OK – to wysyłka wiadomości z prośbą o akcję, gdy ktoś chce pozostać na naszej liście (wraz z kompletem informacji co, jak i dlaczego). W tym przypadku niestety, ale można się spodziewać, że baza zostanie solidnie przewietrzona – część osób w ogóle zignoruje wiadomość (nie otworzy jej), część otworzy, ale nie wykona żadnej akcji, a jeszcze inni… uznają, że skoro i tak muszą jakaś akcję wykonywać, to równie dobrze mogą się wypisać.
I choć może to zaboleć nasze marketingowe ego, to ja uważam, że wejście w życie RODO (w uproszczeniu) to jest być może dobry moment by takie przewietrzenie zrobić, i zostawić w naszej bazie tylko osoby, które faktycznie chcą otrzymywać od nas wiadomości. Taką wysyłkę aktywizującą (odsiewającą) warto powtórzyć, bo zwłaszcza teraz, gdy skrzynki zalewane są tego typu informacjami może być trudno się przebić, nawet do osób, które chcą z nami pozostać w kontakcie.
Nie tylko RODO
Pamiętajcie tylko, że RODO dotyczy głównie przetwarzania danych osobowych (tak jak ustawa o ochronie danych osobowych), i często o tym co możemy, musimy lub nie możemy decyduje również ustawa o świadczeniu usług drogą elektroniczną (np. zgoda na przesyłanie informacji handlowej, bo to ona definiuje m.in. co to jest SPAM), ustawa prawo telekomunikacyjne (np. zgoda telekomunikacyjna, czyli na przesyłanie informacji handlowej na adres e-mail lub telefon, czyli na wykorzystanie w celach marketingowych urządzeń końcowych, takich jak. np. telefony czy komputery), czy np. ustawa o rachunkowości, która m.in. zobowiązuje nas do przechowywania danych o transakcji przez określony czas (to w kontekście prawa do bycia zapomnianym).
Nie takie to RODO straszne jak je (niektórzy) malują
Na koniec powtórzę to co pisałem wcześniej – tak, RODO wprowadza sporo zmian, często być może zamieszanie, czasem niepewność, bo nie ma pewności jak niektóre przepisy/obowiązki będą interpretowane, ale… Jeśli wierzyć, że intencją stojącą za wprowadzeniem RODO (i aktualizacji ustawy o ochronie danych osobowych) nie jest walenie kijem na lewo i prawo, a realna poprawa warunków związanych z przetwarzaniem danych osobowych (m.in. poprzez uproszczenie niektórych procedur, i dopasowanie prawa do aktualnych uwarunkowań technicznych) to raczej powinniśmy spać spokojnie. A za kilka dni, może tygodni będziemy te ostatnie dni maja wspominać z… pewnego rodzaju sentymentem, zwłaszcza ci, co napracowali się przy kolejnych wdrożeniach… ;-)
| Lub postaw nam kawę :-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Poznaj aplikację DroneTower, czyli nowy (i teoretycznie obecnie jedyny) sposób zgłaszania lotów dronami - 1970-01-01
- WordPress 6.5 i “Requires Plugins”, czyli autor wtyczki może teraz w prosty sposób określić, jakie wtyczki są niezbędne (wymagane), do działania jego wtyczki - 1970-01-01
- Przegląd nowości w aktualizacji 01.03.1300 oprogramowania kontrolera DJI RC (RM330) - 1970-01-01
To ja może podrzucę taki link
https://czasopismo.legeartis.org/2018/05/rodo-prywatna-strona-internetowa.html
Podlinkowany artykuł spoko, choć trzeba jasno (i mocno) podkreślić, że opisana tam sytuacja dotyczy naprawdę, ale to naprawdę prywatnego, niewielkiego bloga, na którym ktoś czasem coś prywatnego napisze. Taka mocno pierwotna formuła bloga, która nie wiem, czy obecnie w ogóle występuje jeszcze w przyrodzie… ;-)
U mnie :P
No właśnie widziałem (a nawet przeczytałem) Twoją dyskusję pod podlinkowanym przez Ciebie wpisem na ten temat. No to podziel się adresem – może być na priv, jak coś… :-)
Gdzieś już pisałem, na początku odwiedzin tutaj. Ciąłem wątek byś jednak dopuścił linkowania do stron komentujących, nawet na zasadzie jak ktoś ma x+ komentarzy.
Link jest u Orgierta.
Niby mógłbym odblokować, ale to jedna ze skutecznych metod walki ze SPAMem w komentarzach – nie tylko dlatego, że brak tego pola zmniejsza liczbę prób, ale dlatego też, że można wykorzystać je jako wabik… Ale się zastanowię, może zrobię test. Zobaczymy… ;-)
No dobra, byłem… Nie działa Ci krótki kod na stronie “kontakt” (wyświetla się krótki kod zamiast formularza). A jeśli to ta wtyczka co myślę (po krótkim kodzie, w kodzie strony nie sprawdzałem) to może warto rozważyć zmianę…
Zaciekawił mnie też Twój “problem” z kategorią “digg” i chmurką tagów. Zaciekawił, bo… kusi sprawdzić jakby to można było zrobić. Ale zastanawiam się, czy nie ma tu błędu logicznego w założeniach, bo niektóre tagi mogą być wspólne dla kategorii “digg” i innych. Chyba, że masz na myśli wykluczenie w stylu “jeśli tag nie jest przypisany do żądnego wpisu z kategorii ‘digg’ to go nie wyświetlaj” i “jeśli tag jest przypisany tylko do wpisów nienależących do kategorii ‘digg’ to go wyświetlaj”. Ale nie wiem, czy to faktycznie jest Ci potrzebne, i czy nie jest to strzelanie do wróbla z armaty… ;-)
Na koniec – prowadzę testy czegoś w stylu “linkowisko” (nazwa inna, to tylko ma przybliżyć o co chodzi), co jest w sumie podobne do Twojego “digg”, i nawet w pierwszych podejściach też używałem nazwy “digg” (choć głównie na potrzeby funkcji, itp.). Choć to w sumie nie takie dziwne, bo w końcu jest taki serwis… ;-)
Był taki serwis :P
@komentarzy – temu też propozycja dla 50+, będą nagrodzeni tylko stali czytelnicy :P
@kontakt – problem nie jest taki, iż shortcode jest zepsuty (chyba tu nawet o tym pisałeś), tylko po prostu niema wtyczki, która była by powiązana z tym shortcodem.
@tagi – jeśli tak jest tak występuje w digg i gdzie indziej, to powinien pojawić się w obu chmurach. Bardziej mi zależy, na tagu tylko na digg, by łatwiej było mi szukać, co mam w digg.
Nie wiem czy przy większej liczbie artykułów takie wyszukiwanie miałoby sens, chyba, że w większości przypadków tagi by się nie powtarzały. Zawsze też możesz użyć zmodyfikowanego zapytania, w którym odpytujesz o posty z danym tagiem, ale tylko z wybranej kategorii (u Ciebie np. “digg”). Nie powinno chyba też być problemu, by wyświetlić standardową chmurkę tagów (wp_tag_cloud()) przefiltrowaną tylko do tagów występujących przy wpisach z danej kategorii.
Z tego co ja czytałem (i zrozumiałem) dokumentację, to mogę wykluczyć co najwyżej jakieś tagi, ale dla mnie tagi są uniwersalne dla digg i nie digg.
Może uda mi się spojrzeć (między kolejnymi dniami Warszawskiego Festiwalu Piwa ;-)), ale skoro „query” możemy właściwie dowolnie modyfikować, to chyba dałoby się w ten sposób np. odfiltrować posty należące do konkretnej kategorii, i potem wyjąć dla nich tagi i wrzucić je do standardowej chmurki WP.
Zerknij na stronę [—], gdzie tymczasowo wstawiłem demo chmury tagów dla postów z wybranej kategorii (artykuł sponsorowany). Chmura wyświetlana za pomocą standardowego wp_tag_cloud() z WP.
Dokładnie, o coś takiego mi chodziło.
Mówisz i masz… Tak, pamiętam też o krówce… ;-)