RODO - pytanie

[kacperq]

Cześć. Mam kilka pytań co do RODO. Otóż tworzę stronę, na której każdy będzie mógł się zarejestrować.

 

Do rejestracji będą potrzebne jedynie trzy elementy: nazwa użytkownika, hasło i adres e-mail. W swoim profilu użytkownik będzie mógł dodać także różne informacje o sobie - m.in. miejsce zamieszkania, imię i nazwisko, itd., ale nie będzie to obowiązkowe - każdy wypełni wedle życzenia.

 

Zastanawiam się zatem, czy dochodzi tutaj do przetwarzania danych. Tworzę portal z czymś a'la forum, gdzie ludzie będą mogli dyskutować na różne tematy. Czy wystarczy zatem dodać w regulaminie regułkę, że podanie dodatkowych danych jest dobrowolne, adres e-mail, nazwa użytkownika i hasło są potrzebne tylko po to, by móc założyć konto? Na stronie będą także powiadomienia - oczywiście wiadomość zawierająca link potwierdzający rejestracje, powiadomienia o odpowiedziach, o dodaniu do grupy itd. Wszystkie powiadomienia (prócz wiadomosci z linkiem potwierdzającym rejestrację) będzie można wyłączyć w ustawieniach konta.

 

Macie pomysł jak to ugryźć?

 

[theqkash]

W praktyce jeżeli nie będziesz wykorzystywał zgromadzonych danych w żaden inny sposób niż samo korzystanie z forum (tj. nie będziesz profilował osób przychdozących z forum skorzystać, nie będziesz wysyłał mailingów etc), w zupełności wystarczy Ci standardowa regułka która znajduje się w większości skryptów for. W regulaminie i polityce prywatności powinieneś jednak zawszeć informację z opisem jak działają te powiadomienia mailowe (w skrócie) i czym skutkuje podanie danych osobowych podczas rejestracji, jak również czym skutkuje podanie dodatkowych danych. 

 

Dla pełnej zgodności powinieneś też korzystać z usługodawcy, który jest w stanie z Tobą zawszeć umowę powierzenia danych osobowych.

W każdym razie - odradzam popadanie w paranoję, nie o to w tym wszystkim chodzi.

[kacperq]

Nie używam żadnych skryptów forów - nie do końca też będzie to forum, a po prostu miejsce, gdzie ludzie będą mogli pogadać w stworzonych przez nich grupach. Dzięki Ci za rady, umieściłem zasady działania powiadomień i skutki podania danych.

 

" Dla pełnej zgodności powinieneś też korzystać z usługodawcy, który jest w stanie z Tobą zawszeć umowę powierzenia danych osobowych. " - możesz rozwinąć?

[theqkash]

8 minut temu, kacperq napisał:

możesz rozwinąć?

Operator hostingowy któremu powierzasz stronę, która z kolei zawiera dane osobowe, powinien dać Ci możliwość podpisania tzw. umowy o powierzenie danych osobowych, która między innymizabezpiecza Cię przed ewentualnymi problemami z bezpieczeństwem danych, które mogłyby wyniknąć po stronie operatora.

[kacperq]

Dzięki za odpowiedź. A czy jeśli jestem osobą prywatną i nie mam jeszcze firmy, to także mogę podpisać taką umowę?

 

Swoją drogą - ja profilował ani wysyłał mailingów nie będę (prócz automatycznych oczywiście - powiadomienia), ale na stronie będą reklamy Adsense, które zdaje się profilują użytkowników. Czy w regulaminie też muszę o tym wspomnieć, że w serwisie są reklamy, które mogą profilować użytkowników?

 

Tak jak mówiłem - zarejestrowani będą mogli także wypełnić opcjonalne pola typu "imię i nazwisko" "kraj" itd. Jeśli to zrobią, to te dane będą wyświetlane w ich profilu i widoczne dla wszystkich. Czy wystarczy w polityce prywatności wspomnieć, że wypelnienie dodatkowych, nieobowiązkowych pól typu imię i nazwisko wiąże się z tym, że wszyscy będą mogli je zobaczyć?

[theqkash]

Teraz, kacperq napisał:

A czy jeśli jestem osobą prywatną i nie mam jeszcze firmy, to także mogę podpisać taką umowę?

Tak.
 

Teraz, kacperq napisał:

Swoją drogą - ja profilował ani wysyłał mailingów nie będę (prócz automatycznych oczywiście - powiadomienia), ale na stronie będą reklamy Adsense, które zdaje się profilują użytkowników. Czy w regulaminie też muszę o tym wspomnieć, że w serwisie są reklamy, które mogą profilować użytkowników?

AdSense z tego co wiem domyślnie wyłączy profilowanie dla ludzi objętych RODO. Profilaktycznie jednak warto informację również zamieścić.

 

 

1 minutę temu, kacperq napisał:

Tak jak mówiłem - zarejestrowani będą mogli także wypełnić opcjonalne pola typu "imię i nazwisko" "kraj" itd. Jeśli to zrobią, to te dane będą wyświetlane w ich profilu i widoczne dla wszystkich. Czy wystarczy w polityce prywatności wspomnieć, że wypelnienie dodatkowych, nieobowiązkowych pól typu imię i nazwisko wiąże się z tym, że wszyscy będą mogli je zobaczyć?

Powinieneś zamieścić dodatkowy checkbox przy rejestracji w którym poinformujesz o tym, że niektóre dane mogą być widoczne.


Dodatkowo pamiętaj o pozostałych obostrzeniach wynikających z przepisów, takich jak możliwość całkowitego usunięcia danych oraz ich udostępnienia w kompletnej formie. Dla zgodności z RODO powinieneś być na to przygotowany.

[kacperq]

Dzięki za odpowiedzi.

 

Co do opcjonalnych pól - nie ma ich w polu rejestracji. Dopiero po rejestracji użytkownik w sekcji "mój profil" może podać dodatkowe dane. Czy w takim wypadku także powinienem zamieścić ten checkbox?

 

Swoją drogą - przy rejestracji nie mam żadnych checkboxów, a jedynie informację, że "rejestrując się akceptujesz nasz regulamin i politykę prywatności". Czy takie coś jest ok, czy koniecznie muszą to być checkboxy? Oczywiście "regulamin" i "politykę prywatności" są podlinkowane do tych podstron.

[Krzysiek]

Im więcej informacji podasz, tym lepiej dla Ciebie. Nie chodzi tu tylko o Rodo ale i ewentualnych użytkowników, którzy widząc że po wpisaniu imię i nazwisko jest wszędzie widoczne mogą nie być zbytnio zadowoleni. Ewentualnie możesz dać w nagłówku info, że wpisane dane będą ogólnodostępne.

 

Co do drugiej kwestii, to tego jeszcze nikt nie wie na 100% :) RODO wg rozporządzenia UE powinno wejść w życie od 25.05, a ustawa dopiero jest w Polsce uchwalana. Na dzień dzisiejszy, nikt tak do końca nie ma jeszcze pewności co jest właściwe, a co nie jeśli chodzi o dane osobowe użytkowników. Znając życie jeszcze chwilę poczekamy na ogłoszenie ustawy, a potem będzie raptem kilka dni żeby dokonać wszystkich niezbędnych zmian.

[kacperq]

Dzięki za odpowiedź.

Nurtuje mnie jeszcze jedna kwestia - czytałem, że użytkownicy muszą mieć możliwość pobrania swoich danych. Czy teraz każda strona zbierające dane osobowe musi mieć takie narzędzie?

[otlet]

20 godzin temu, kacperq napisał:

Dzięki za odpowiedź.

Nurtuje mnie jeszcze jedna kwestia - czytałem, że użytkownicy muszą mieć możliwość pobrania swoich danych. Czy teraz każda strona zbierające dane osobowe musi mieć takie narzędzie?

Tutaj raczej bym się opowiadał o fakcie, że napiszą do admina, a ten im wyda wszystko co nazbierali. Raczej takiego kompletnego narzędzia-automatu nie trzeba

[kacperq]

To już wydaje się bardziej rozsądne. Dzięki za odpowiedź

A co z Google Analytics? Jakby nie patrzeć, to narzędzie zbiera od cholery informacji. Wystarczy dodanie informacji w polityce prywatności, że portal korzysta z narzędzia Google Analytics do zbierania danych o zachowaniach użytkowników i analizy ruchu na stronie (w celach statystycznych)?

[Desavil]

Dołączam się do pytania - jak wygląda sprawa z Google Analytics? Czy nie okaże się, że lepszym rozwiązaniem będzie przejście na, np. Matomo (self-hosted)?

Co z pikselem facebooka? Tutaj już zachodzi jeszcze większe profilowanie - specjalne zgody, jeżeli użytkownik nie wyrazi zgody, nie wyświetlać piksela?

[theqkash]

4 godziny temu, kacperq napisał:

A co z Google Analytics? Jakby nie patrzeć, to narzędzie zbiera od cholery informacji. Wystarczy dodanie informacji w polityce prywatności, że portal korzysta z narzędzia Google Analytics do zbierania danych o zachowaniach użytkowników i analizy ruchu na stronie (w celach statystycznych)?

 

Godzinę temu, Desavil napisał:

Dołączam się do pytania - jak wygląda sprawa z Google Analytics? Czy nie okaże się, że lepszym rozwiązaniem będzie przejście na, np. Matomo (self-hosted)?

Co z pikselem facebooka? Tutaj już zachodzi jeszcze większe profilowanie - specjalne zgody, jeżeli użytkownik nie wyrazi zgody, nie wyświetlać piksela?

 

Najbezpieczniejsze jest pozostawienie standardowego komunikatu o cookies z przekierowaniem do polityki prywatności, w której to polityce należy zawrzeć prosty zapis informujący o tym kto zbiera dane, dlaczego i w jaki sposób można to cofnąć/zaprzestać temu.

 

Może to wyglądać na przykład tak:

 

Cytuj

 

Podanie danych osobowych na strone www.mojastronadomowa.pl jest dobrowolne, a dane te są przetwarzane wyłącznie za Twoją zgodą. Odbiorcami danych osobowych osób korzystających ze strony są Google oraz Facebook, a dane te są udostępniane za pomocą cookies przesłanych przez te firmy do Twojej przeglądarki. Jako, że posiadasz wpływ na ustawienia swojej przeglądarki w zakresie zbierania tych informacji, możesz za ich pomocą wycofać zgodę w dowolnym momencie poprzez zmianę jej ustawień. Masz prawo zażądania od administratora danych  tych serwisów do dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania tych danych, a także prawo wniesienia skargi do organu nadzorczego. 

 

Profilowanie używane jest w oparciu o dane przesłane do Google Analytics, Google AdWords, Facebook Pixel. W sytuacji wniesienia sprzeciwu wobec profilowania, prosimy zoptymalizować odpowiednio swoją przeglądarkę.

 

Dane przesyłane do wspomnianych wyżej aplikacji umożliwiają nam prowadzenie statystyk, a także wyświetlanie odpowiednich reklam. 

 

 

[kacperq]

Masakra z tym RODO... Dzięki wszystkim za odpowiedzi.

 

Mam jednak jeszcze 1 pytanie:

1. Czy jeśli nie mam firmy (podpisałem umowę o powierzenie przetwarzania danych z hostingiem) powinienem w polityce prywatności podać adres do siebie jako administratora - adres zamieszkania, imię i nazwisko itd? Czy może po podpisaniu tej umowy powinienem wskazać moj hosting jako administratora danych?

[theqkash]

Godzinę temu, kacperq napisał:

 

1. Czy jeśli nie mam firmy (podpisałem umowę o powierzenie przetwarzania danych z hostingiem) powinienem w polityce prywatności podać adres do siebie jako administratora - adres zamieszkania, imię i nazwisko itd? Czy może po podpisaniu tej umowy powinienem wskazać moj hosting jako administratora danych?

Hosting nie jest administratorem dla Twoich danych. 

[kacperq]

29 minut temu, theqkash napisał:

Hosting nie jest administratorem dla Twoich danych. 

To w takim razie jako osoba fizyczna muszę umieścić swoje pełne dane, tzn imię i nazwisko, adres zamieszkania, telefon?

[Pieka]

W razie gdyby ktoś nie miał konta w BH a miał ochotę poczytać, jak oni to widzą i co radzą: https://biznes-host.pl/start/dokumenty/RODO-BH.pdf

[kacperq]

Bardzo przydatny plik. Dzięki!

 

A co do mojego pytania, czy musze podać swoje dane jako administratora - odpowie ktoś?

[Artur Pajkert Hekko.pl]

Raczej tak. Popatrz sobie w art 13 p. 1.1. RODO. Obejrzyj prezentację, którą Ci @Pieka radzi - jest tam wypisane, jakie masz obowiązku informacyjne wobec osób, których dane przetwarzasz.

[Pieka]

Z tego, co widzę to jest to bardzo ogólnie ujęte: kto jest administratorem + dane kontaktowe, czyli może to być np. imię i nazwisko plus adres e-mail.

[Krzysiek]

Może być podany z imienia i nazwiska, a może być podpisany jedynie jako administrator danych. Głównie chodzi o to, żeby była z nim jakaś forma kontaktu - mail lub nr telefonu. Tak wynika przynajmniej, z tego co do tej pory doczytałem.