Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

RODO - pytanie


kacperq
 Udostępnij

Rekomendowane odpowiedzi

Cześć. Mam kilka pytań co do RODO. Otóż tworzę stronę, na której każdy będzie mógł się zarejestrować.

 

Do rejestracji będą potrzebne jedynie trzy elementy: nazwa użytkownika, hasło i adres e-mail. W swoim profilu użytkownik będzie mógł dodać także różne informacje o sobie - m.in. miejsce zamieszkania, imię i nazwisko, itd., ale nie będzie to obowiązkowe - każdy wypełni wedle życzenia.

 

Zastanawiam się zatem, czy dochodzi tutaj do przetwarzania danych. Tworzę portal z czymś a'la forum, gdzie ludzie będą mogli dyskutować na różne tematy. Czy wystarczy zatem dodać w regulaminie regułkę, że podanie dodatkowych danych jest dobrowolne, adres e-mail, nazwa użytkownika i hasło są potrzebne tylko po to, by móc założyć konto? Na stronie będą także powiadomienia - oczywiście wiadomość zawierająca link potwierdzający rejestracje, powiadomienia o odpowiedziach, o dodaniu do grupy itd. Wszystkie powiadomienia (prócz wiadomosci z linkiem potwierdzającym rejestrację) będzie można wyłączyć w ustawieniach konta.

 

Macie pomysł jak to ugryźć?

 

Odnośnik do komentarza
Udostępnij na innych stronach

W praktyce jeżeli nie będziesz wykorzystywał zgromadzonych danych w żaden inny sposób niż samo korzystanie z forum (tj. nie będziesz profilował osób przychdozących z forum skorzystać, nie będziesz wysyłał mailingów etc), w zupełności wystarczy Ci standardowa regułka która znajduje się w większości skryptów for. W regulaminie i polityce prywatności powinieneś jednak zawszeć informację z opisem jak działają te powiadomienia mailowe (w skrócie) i czym skutkuje podanie danych osobowych podczas rejestracji, jak również czym skutkuje podanie dodatkowych danych. 

 

Dla pełnej zgodności powinieneś też korzystać z usługodawcy, który jest w stanie z Tobą zawszeć umowę powierzenia danych osobowych.

W każdym razie - odradzam popadanie w paranoję, nie o to w tym wszystkim chodzi.

Odnośnik do komentarza
Udostępnij na innych stronach

Nie używam żadnych skryptów forów - nie do końca też będzie to forum, a po prostu miejsce, gdzie ludzie będą mogli pogadać w stworzonych przez nich grupach. Dzięki Ci za rady, umieściłem zasady działania powiadomień i skutki podania danych.

 

" Dla pełnej zgodności powinieneś też korzystać z usługodawcy, który jest w stanie z Tobą zawszeć umowę powierzenia danych osobowych. " - możesz rozwinąć?

Odnośnik do komentarza
Udostępnij na innych stronach

8 minut temu, kacperq napisał:

możesz rozwinąć?


Operator hostingowy któremu powierzasz stronę, która z kolei zawiera dane osobowe, powinien dać Ci możliwość podpisania tzw. umowy o powierzenie danych osobowych, która między innymizabezpiecza Cię przed ewentualnymi problemami z bezpieczeństwem danych, które mogłyby wyniknąć po stronie operatora.

Odnośnik do komentarza
Udostępnij na innych stronach

Dzięki za odpowiedź. A czy jeśli jestem osobą prywatną i nie mam jeszcze firmy, to także mogę podpisać taką umowę?

 

Swoją drogą - ja profilował ani wysyłał mailingów nie będę (prócz automatycznych oczywiście - powiadomienia), ale na stronie będą reklamy Adsense, które zdaje się profilują użytkowników. Czy w regulaminie też muszę o tym wspomnieć, że w serwisie są reklamy, które mogą profilować użytkowników?

 

Tak jak mówiłem - zarejestrowani będą mogli także wypełnić opcjonalne pola typu "imię i nazwisko" "kraj" itd. Jeśli to zrobią, to te dane będą wyświetlane w ich profilu i widoczne dla wszystkich. Czy wystarczy w polityce prywatności wspomnieć, że wypelnienie dodatkowych, nieobowiązkowych pól typu imię i nazwisko wiąże się z tym, że wszyscy będą mogli je zobaczyć?

Odnośnik do komentarza
Udostępnij na innych stronach

Teraz, kacperq napisał:

A czy jeśli jestem osobą prywatną i nie mam jeszcze firmy, to także mogę podpisać taką umowę?


Tak.
 

Teraz, kacperq napisał:

Swoją drogą - ja profilował ani wysyłał mailingów nie będę (prócz automatycznych oczywiście - powiadomienia), ale na stronie będą reklamy Adsense, które zdaje się profilują użytkowników. Czy w regulaminie też muszę o tym wspomnieć, że w serwisie są reklamy, które mogą profilować użytkowników?


AdSense z tego co wiem domyślnie wyłączy profilowanie dla ludzi objętych RODO. Profilaktycznie jednak warto informację również zamieścić.

 

 

1 minutę temu, kacperq napisał:

Tak jak mówiłem - zarejestrowani będą mogli także wypełnić opcjonalne pola typu "imię i nazwisko" "kraj" itd. Jeśli to zrobią, to te dane będą wyświetlane w ich profilu i widoczne dla wszystkich. Czy wystarczy w polityce prywatności wspomnieć, że wypelnienie dodatkowych, nieobowiązkowych pól typu imię i nazwisko wiąże się z tym, że wszyscy będą mogli je zobaczyć?


Powinieneś zamieścić dodatkowy checkbox przy rejestracji w którym poinformujesz o tym, że niektóre dane mogą być widoczne.


Dodatkowo pamiętaj o pozostałych obostrzeniach wynikających z przepisów, takich jak możliwość całkowitego usunięcia danych oraz ich udostępnienia w kompletnej formie. Dla zgodności z RODO powinieneś być na to przygotowany.

Odnośnik do komentarza
Udostępnij na innych stronach

Dzięki za odpowiedzi.

 

Co do opcjonalnych pól - nie ma ich w polu rejestracji. Dopiero po rejestracji użytkownik w sekcji "mój profil" może podać dodatkowe dane. Czy w takim wypadku także powinienem zamieścić ten checkbox?

 

Swoją drogą - przy rejestracji nie mam żadnych checkboxów, a jedynie informację, że "rejestrując się akceptujesz nasz regulamin i politykę prywatności". Czy takie coś jest ok, czy koniecznie muszą to być checkboxy? Oczywiście "regulamin" i "politykę prywatności" są podlinkowane do tych podstron.

Odnośnik do komentarza
Udostępnij na innych stronach

Im więcej informacji podasz, tym lepiej dla Ciebie. Nie chodzi tu tylko o Rodo ale i ewentualnych użytkowników, którzy widząc że po wpisaniu imię i nazwisko jest wszędzie widoczne mogą nie być zbytnio zadowoleni. Ewentualnie możesz dać w nagłówku info, że wpisane dane będą ogólnodostępne.

 

Co do drugiej kwestii, to tego jeszcze nikt nie wie na 100% :) RODO wg rozporządzenia UE powinno wejść w życie od 25.05, a ustawa dopiero jest w Polsce uchwalana. Na dzień dzisiejszy, nikt tak do końca nie ma jeszcze pewności co jest właściwe, a co nie jeśli chodzi o dane osobowe użytkowników. Znając życie jeszcze chwilę poczekamy na ogłoszenie ustawy, a potem będzie raptem kilka dni żeby dokonać wszystkich niezbędnych zmian.

Odnośnik do komentarza
Udostępnij na innych stronach

20 godzin temu, kacperq napisał:

Dzięki za odpowiedź. 🙂

Nurtuje mnie jeszcze jedna kwestia - czytałem, że użytkownicy muszą mieć możliwość pobrania swoich danych. Czy teraz każda strona zbierające dane osobowe musi mieć takie narzędzie?

Tutaj raczej bym się opowiadał o fakcie, że napiszą do admina, a ten im wyda wszystko co nazbierali. Raczej takiego kompletnego narzędzia-automatu nie trzeba

Odnośnik do komentarza
Udostępnij na innych stronach

To już wydaje się bardziej rozsądne. Dzięki za odpowiedź 🙂

A co z Google Analytics? Jakby nie patrzeć, to narzędzie zbiera od cholery informacji. Wystarczy dodanie informacji w polityce prywatności, że portal korzysta z narzędzia Google Analytics do zbierania danych o zachowaniach użytkowników i analizy ruchu na stronie (w celach statystycznych)?

Odnośnik do komentarza
Udostępnij na innych stronach

Dołączam się do pytania - jak wygląda sprawa z Google Analytics? Czy nie okaże się, że lepszym rozwiązaniem będzie przejście na, np. Matomo (self-hosted)?

Co z pikselem facebooka? Tutaj już zachodzi jeszcze większe profilowanie - specjalne zgody, jeżeli użytkownik nie wyrazi zgody, nie wyświetlać piksela?

Odnośnik do komentarza
Udostępnij na innych stronach

4 godziny temu, kacperq napisał:


A co z Google Analytics? Jakby nie patrzeć, to narzędzie zbiera od cholery informacji. Wystarczy dodanie informacji w polityce prywatności, że portal korzysta z narzędzia Google Analytics do zbierania danych o zachowaniach użytkowników i analizy ruchu na stronie (w celach statystycznych)?

 

Godzinę temu, Desavil napisał:

Dołączam się do pytania - jak wygląda sprawa z Google Analytics? Czy nie okaże się, że lepszym rozwiązaniem będzie przejście na, np. Matomo (self-hosted)?

Co z pikselem facebooka? Tutaj już zachodzi jeszcze większe profilowanie - specjalne zgody, jeżeli użytkownik nie wyrazi zgody, nie wyświetlać piksela?

 

Najbezpieczniejsze jest pozostawienie standardowego komunikatu o cookies z przekierowaniem do polityki prywatności, w której to polityce należy zawrzeć prosty zapis informujący o tym kto zbiera dane, dlaczego i w jaki sposób można to cofnąć/zaprzestać temu.

 

Może to wyglądać na przykład tak:


 

Cytuj

 

Podanie danych osobowych na strone www.mojastronadomowa.pl jest dobrowolne, a dane te są przetwarzane wyłącznie za Twoją zgodą. Odbiorcami danych osobowych osób korzystających ze strony są Google oraz Facebook, a dane te są udostępniane za pomocą cookies przesłanych przez te firmy do Twojej przeglądarki. Jako, że posiadasz wpływ na ustawienia swojej przeglądarki w zakresie zbierania tych informacji, możesz za ich pomocą wycofać zgodę w dowolnym momencie poprzez zmianę jej ustawień. Masz prawo zażądania od administratora danych  tych serwisów do dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania tych danych, a także prawo wniesienia skargi do organu nadzorczego. 

 

Profilowanie używane jest w oparciu o dane przesłane do Google Analytics, Google AdWords, Facebook Pixel. W sytuacji wniesienia sprzeciwu wobec profilowania, prosimy zoptymalizować odpowiednio swoją przeglądarkę.

 

Dane przesyłane do wspomnianych wyżej aplikacji umożliwiają nam prowadzenie statystyk, a także wyświetlanie odpowiednich reklam. 

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

  • 2 tygodnie później...

Masakra z tym RODO... Dzięki wszystkim za odpowiedzi.

 

Mam jednak jeszcze 1 pytanie:

1. Czy jeśli nie mam firmy (podpisałem umowę o powierzenie przetwarzania danych z hostingiem) powinienem w polityce prywatności podać adres do siebie jako administratora - adres zamieszkania, imię i nazwisko itd? Czy może po podpisaniu tej umowy powinienem wskazać moj hosting jako administratora danych?

Odnośnik do komentarza
Udostępnij na innych stronach

Godzinę temu, kacperq napisał:

 

1. Czy jeśli nie mam firmy (podpisałem umowę o powierzenie przetwarzania danych z hostingiem) powinienem w polityce prywatności podać adres do siebie jako administratora - adres zamieszkania, imię i nazwisko itd? Czy może po podpisaniu tej umowy powinienem wskazać moj hosting jako administratora danych?


Hosting nie jest administratorem dla Twoich danych. 

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Udostępnij

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.