RODO DLA BLOGERÓW część II


W ostatnim poście o RODO starałam się Was przekonać do tego, że każdy bloger powinien się tym tematem zainteresować. Przede wszystkim starałam się odpowiedzieć na pytanie: Czy RODO dotyczy blogerów? a jeśli tak to w jakim zakresie. Dzisiaj postaram się więcej napisać o obowiązkach.

Nie czytałeś poprzedniego postu? Zapraszam tutaj: RODO dla blogerów. Część I.


Post nie ma charakteru porady prawnej. Chcę jedynie przybliżyć Blogerom RODO. Udowodnić im, że warto się nim zainteresować, bo dotyczy każdego z nas. I przede wszystkim pokazać, że warto do tematu dobrze się przygotować zamiast panikować.



RODO nakłada na blogerów obowiązki, o których połowa z nich nigdy wcześniej nie słyszała. Przede wszystkim blogerzy, niezależnie od tego czy mają blog w serwisie blogger, wordpress, onet, czy blog4u, nie mogą na nikogo zrzucić swojej odpowiedzialności. Administrator danych osobowych musi dbać o przetwarzanie danych sam, a jeśli musi komuś to powierzyć, to powinien zrobić to odpowiedzialnie. 

Google zapewnia, że będzie gotowy na RODO, ale nie weźmie odpowiedzialności za wszystko, co robi bloger. Z tego względu każdy z nas sam musi przygotować się do RODO, czytać regulaminy Google, które jeszcze w pełni nie są gotowe i reagować na bieżąco tak, żeby zapewnić bezpieczeństwo przetwarzania danych osobowych, a przede wszystkim legalność tego przetwarzania. Inna kwestia, że Wordpress na dzień dzisiejszy wydaje się lepiej dostosowany na potrzeby RODO ze względu na funkcje, które już dzisiaj posiada.

Administrator danych (bloger) musi zadbać, aby dane były przetwarzane zgodnie z RODO oraz w taki sposób aby mógł to wykazać. Przede wszystkim blogerzy muszą wywiązać się z obowiązku informacyjnego zarówno we właściwym zakresie, jak i formie, a w razie kontroli wykazać, że użytkownik wyraził zgodę na przetwarzanie jego danych osobowych.


1. Rejestr czynności przetwarzania danych
Zgodnie z art. 30 ust. 1 RODO każdy administrator zobowiązany jest prowadzić rejestr czynności przetwarzania danych, a co za tym idzie każdy bloger. Jednak w art. 30 ust. 5 zwarto pewien wyjątek. Zgodnie z nim z obowiązku prowadzenia rejestru czynności przetwarzania danych zwolnieni są przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego dokonuję może powodować ryzyko naruszenia praw lub wolności osób, przetwarzanie nie ma charakteru sporadycznego.


Prościej? Bloger nie zatrudnia pracowników (ciekawe za co :P), przetwarzanie danych przez blogera nie powoduje ryzyka naruszenia praw lub wolności osób (żaden bloger przecież nie zbiera danych w sposób w pełni świadomy, żeby wykorzystać je w jakimkolwiek celu prowadzącym do takiego zagrożenia), nie ma charakteru sporadycznego. Ostatnia kwestia budzi pewne wątpliwości. Jeśli przetwarzanie danych osobowych nie ma mieć charakteru sporadycznego, to na zasadzie przeciwieństwa powinno mieć charakter cykliczny, regularny. Na dzień dzisiejszy nikt nie rozstrzygnął tej kwestii w sposób jednoznaczny. Wydaje się jednak, że bloger nie musi prowadzić takiego rejestru. Stare polskie przysłowie mówi jednak przezorny zawsze ubezpieczony, a skoro tak można przemyśleć czy jednak prowadzenie takiego rejestru nie byłoby dobrym pomysłem.

Co powinno znaleźć się w rejestrze?
I. Imię i nazwisko oraz dane kontaktowe blogera oraz wszelkich współadministratorów. 
STOP! O tym kim jest współadministrator RODO nie mówi wprost. Wskazuje jednak, że "jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarza, są oni współadministratorami". Niektórzy blogerzy decydują się prowadzić blog wspólnie jednak nie zawsze będą oni współadministratorami. Jeżeli jeden bloger jest właścicielem bloga i sam podejmuje wszystkie decyzje związane z blogiem, a w tym ustala cele i sposoby przetwarzania danych, a pozostali jedynie zamieszczają posty to raczej nie będziemy mówili o współadministrowaniu.
II. Cele przetwarzania danych (o tym więcej później), np. publikowanie komentarzy na blogu.
III. Opis kategorii osób, których dane dotyczą - komentujący posty, oraz kategorii danych osobowych - np. nick, IP.
IV. Kategorie odbiorców - co do zasady raczej nie będziemy nikomu udostępniać danych. Inna kwestia tyczy się przekazywania danych do państwa trzeciego, zawsze należy sprawdzić to w regulaminach usług, z których korzystamy.
V. Planowany termin usunięcia poszczególnych kategorii danych - np. zamknięcie bloga.
VI. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Zainteresowanych prowadzenie rejestru czynności przetwarzania danych odsyłam do najlepszego źródła informacji - GIODO. Na swojej stronie umieścił on instrukcję jak prowadzić taki rejestr wraz z wzorem. Warto zerknąć :)

Uwaga co do komentarzy. Jeśli zdecydujemy się na prowadzenie rejestru czynności przetwarzania to powinniśmy prowadzić go osobno również dla komentarzy. Komentarze są swego rodzaju zbiorem danych. Czytelnik bloga zostawiając komentarz, zostawia również swoje dane w postaci nicku, maila i adresu IP o czym nie można zapominać. Ale...jeśli posiadasz na blogu system komentarzy disqus sytuacja wygląda trochę inaczej. To nie Ty przetwarzasz dane osobowe, a robi to disquas, Ty jedynie zezwalasz na wyświetlanie tych komentarzy na blogu. Czytelnik zostawiając komentarz akceptuje bowiem regulamin Disqus. Warto jednak Czytelnika uprzedzić, że na blogu działa system komentarzy - disqus.

2. Powierzenie przetwarzania danych 
W celu powierzenia przetwarzania danych konieczne jest zawarcie umowy, RODO zaś dopuszcza zawarcie takiej umowy w formie elektronicznej. Co więcej często wystarczy sama akceptacja regulaminu usługi.

Obowiązkiem blogera jest sprawdzenie czy powierza dane podmiotowi, który dostatecznie chroni dane osobowe oraz dokładne zapoznanie się z regulaminami.

Komu bloger powierza dane? Głównie serwisowi blogger (GOOGLE)/wordpress, na którym prowadzi bloga. Można wspomnieć jeszcze o hostingu oraz domenach w przypadku ich posiadania również powierza się dane.

Bloger powinien sporządzić wykaz podmiotów, którym powierza dane w najprostszej możliwej formie, np. w tabelce. Informacje jakie powinno się podać to: nazwa podmiotu, cel powierzenia danych oraz fakt zawarcia umowy.

3. Zgłaszanie naruszeń
Administrator danych musi również zapewnić ochronę danym osobowym, które przetwarza. W przypadku blogerów, najważniejsze to posiadać dobre hasło, gdyż o całą ochronę dba blogger/wordpress. 

Jeśli dojdzie do naruszenia danych osobowych, administrator danych zobowiązany jest zgłosić takie naruszenie, bez zbędnej zwłoki i nie później niż w przeciągu 72 h od chwili stwierdzenia naruszenia. Chyba, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Naruszenie zgłasza się do organu nadzorczego. 

W przypadku blogerów jedynym właściwym organem wydaje się GIODO, ale musimy poczekać jeszcze na znowelizowaną ustawę o ochronie danych osobowych, żeby mieć pewność.

Naruszenia należy także ewidencjonować, żeby zawsze były do wglądu właściwego organu. Warto również przygotować się na taką ewentualność i przewidzieć procedurę zgłoszenia - nie jest to jednak obowiązkowe.

4. Inspektor Ochrony Danych Osobowych
IODO ma oczywiście pomagać w ochronie danych osobowych. Nie będę się jednak rozpisywać na jego temat. Bloger nie musi zatrudniać inspektora i wątpię, żeby którykolwiek to zrobił.

5. Ocena skutków przetwarzania danych
W przypadku, gdy przetwarzanie danych ze względu na swój charakter, zakres, kontekst i cele może powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej należy sporządzić ocenę skutków przetwarzania danych, ale blogera to raczej nigdy nie czeka. Zostawmy to :)



Do tej pory na blogach blogerzy informowali jedynie o plikach cookie. Komunikaty tego typu miały różną treść. Niektóre były niezwykle długie, inne krótkie i przejrzyste. Ogólny sens sprowadzał się do tego, żeby poinformować osobę odwiedzającą blog o tym, że nasz blog używa plików cookie, by móc świadczyć usługi, personalizować reklamy i analizować ruch sieciowy, w konsekwencji informacje o tym w jaki sposób użytkownik korzysta ze strony są udostępniane. Po takim komunikacie użytkownik wyrażał na to zgodę, bądź nie. 

RODO rozszerzy obowiązek informacyjny, ale jednocześnie wiele kwestii ułatwi. Komunikat dotyczący zgody ma być jasny, przejrzysty, widoczny i przede wszystkim zrozumiały dla odbiorcy, dlatego nie musi być napisany językiem prawniczym. Tak więc im prościej - tym lepiej. Potwierdza to motyw 42 preambuły oświadczenie o wyrażeniu zgody przygotowane przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków.

Cały czas musimy jednak pamiętać, że zrealizowanie obowiązku informacyjnego to za mało. Musi być on połączony z wyrażeniem zgody. O tym w kolejnym poście :) 



Previous
Next Post »

INFORMACJA

Na blogu korzystamy z zewnętrznego systemu komentarzy Disqus. Więcej na ten temat znajdziesz w §3 Polityki Prywatności Bloga.
0 Komentar

Dziękuję za podzielenie się swoją opinią.
Postaram się jak najszybciej odpowiedzieć :)