polityka prywatności na blogu

Polityka prywatności na blogu – dlaczego jej potrzebujesz?

Uwielbiam blogosferę. Na co dzień czytam dużo blogów. I z przerażeniem odkrywam, że nawet po głośnej, majowej RODOburzy, całkiem sporo z nich nie ma polityki prywatności. Wielu blogerów nie za bardzo zdaje sobie sprawę z tego, że przetwarza dane osobowe. Wcale się nie dziwię! Przepisy o ochronie danych osobowych, moim zdaniem nie są skonstruowane w sposób jasny i przyjemny. Nie są i pewnie nie będą. Dlatego dzisiaj piszę o tym, dlaczego polityka prywatności na blogu jest potrzebna. Mam nadzieję, że rozwieję wątpliwości wątpiących i przekonam nieprzekonanych. Przy okazji proszę, jeżeli uznasz ten tekst za wartościowy – udostępnij go!  Temat jest ważny!

Mam bloga. Czy przetwarzam dane osobowe?

Po pierwsze, wiele osób zastanawia się czy blogując zbiera jakiekolwiek dane. Wiele razy spotkałam się ze stwierdzeniem : nie mam newslettera, komentarze mam z disqusa – tak naprawdę nie zbieram żadnych danych osobowych, czy ja naprawdę potrzebuję polityki prywatności? Chyba nie…

Nie polecam takiego podejścia. Mogę Ci od serca napisać : jeżeli masz bloga, nie jest to blog prywatny, zabezpieczony hasłem, do którego dostęp ma tylko rodzina i znajomi, to najprawdopodobniej dotyczą Cię przepisy o ochronie danych osobowych i polityka prywatności na blogu jest Ci potrzebna.

Zobacz też : Czy Internet jest miejscem publicznym?

Dane osobowe

O tym, czym są dane osobowe pisałam na blogu już dawno, dawno temu. Tamten wpis, zasadniczo nadal jest aktualny, chociaż przepisy o ochronie danych osobowych uległy zmianie. Tak w skrócie : warto zapamiętać, że dane osobowe, to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Poniżej wklejam definicję prosto z RODO:

„„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;”

I oczywiście w temacie danych osobowych pojawiają się dyskusje dotyczące tego, co jest danymi osobowymi a co nie jest. I możemy się w te dyskusje bawić i zastanawiać się, czy adres IP to dane osobowe czy adres e-mail to dane osobowe. Moja rada : dla bezpieczeństwa przyjmij, że tak!

Jeżeli chcesz szczegółowy wpis o tym, dlaczego, moim zdaniem adres IP czy adres e-mail warto uznać za dane osobowe – daj mi znać w komentarzu. Nie chcę się dzisiaj nad tym rozwodzić, bo nie chcę, żeby ten wpis urósł do rozmiarów, które uniemożliwią wygodne jego czytanie.

Dla Twojego własnego bezpieczeństwa: adresy e-mail czy adres IP zawsze traktuj, jako informacje, która mogą stanowić dane osobowe.

Jakie dane osobowe może zbierać mój blog?

Logi serwera

Dane osobowe możesz zbierać w wielu przypadkach. Po pierwsze – logi serwera. Zapisywane w sposób automatyczny, często przydatne, chociażby w celach bezpieczeństwa. Zawierają szereg informacji, w tym m.in. adres IP . Użytkownik wchodzący na Twoją stronę ma prawo się dowiedzieć, że dane dotyczące jego wizyty na Twojej stronie są zapisywane. Ma prawo się dowiedzieć również w jakim celu są wykorzystywane.

Komentarze

Po drugie – komentarze. Najczęściej komentujący zobowiązany jest do podania swojego adresu e-mail i imienia/pseudonimu. Automatycznie zapisywany jest również jego adres IP. Komentujący ma prawo wiedzieć, że te dane są przez Ciebie przetwarzane. Jeżeli chodzi o popularne systemy komentarzy, np. Disqus, to pamiętaj o jednej rzeczy – w niektórych z tych systemów kopie komentarzy, wraz z danymi użytkowników ( adres e-mail, adres IP) są przechowywane również na Twoim serwerze, jako kopia zapasowa.  Jeżeli na Twoim blogu przechowywana jest kopia zapasowa, a dane nie są zanonimizowane, to jesteś w takiej sytuacji tak samo odpowiedzialna/odpowiedzialny za ich przetwarzanie. A komentujący ma prawo wiedzieć, czy i na jakich zasadach te dane przechowujesz.

Ciasteczka/kody śledzenia/wtyczki/treści z innych stron

Kolejna rzecz  dane użytkowników Twojej strony mogą zbierać również zainstalowane na blogu wtyczki albo treści osadzone z innych stron. Wymień w polityce prywatności jakich ciasteczek używa Twój blog i jakie dane mogą być zbierane przez używane przez Ciebie rozszerzenia. Pamiętaj, że te dane o użytkownikach są zbierane poprzez Twoją stronę, nawet, jeżeli Ty tych danych finalnie nie przechowujesz i z niech nie korzystasz.

Newsletter

Osobną kwestią jest newsletter na blogu. Tutaj oczywiście również przetwarzasz dane osobowe ( chociażby adresy e-mail) subskrybentów. Nadto, jeżeli chodzi o newsletter, w grę wchodzi nie tylko kwestia zgody na przetwarzanie danych osobowych, ale również kwestia zgód na komunikację drogą elektroniczną.

Polityka prywatności na blogu

Z uwagi na to, co napisałam powyżej, mogę śmiało stwierdzić, że prowadząc bloga najprawdopodobniej przetwarzasz dane osobowe. Nawet jeżeli na swojej stronie nie masz formularza kontaktowego czy nie prowadzisz newslettera. W takiej sytuacji polityka prywatności na blogu to podstawa!

Oczywiście nie chodzi o stworzenie sformalizowanego dokumentu nazwanego sztywno „polityką prywatności”, ale chodzi o to, żeby dopełnić ciążących na Tobie obowiązków.

Twoim obowiązkiem jest, po pierwsze, udostępnienie na swojej stronie informacji o tym, kim jesteś i jakie dane zbiera Twoja strona i jaka jest tego podstawa. Podaj również swoje dane kontaktowe.

Uprzedź czytelników komu powierzasz przetwarzanie zbieranych danych – przecież tych wszystkich informacji nie trzymasz „u siebie w domu” – masz jakiegoś hostingodawcę czy system mailingowy z którymi należy zawrzeć umowę o powierzenie przetwarzania danych.

Przepisy o ochronie danych osobowych wymagają dopełnienia szeregu obowiązków, w tym, m.in poinformowania osoby, której dane są przetwarzane o tym, jakie prawa jej przysługują ( np. żądania dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, do cofnięcia zgody na przetwarzanie danych, wniesienia skargi do organu nadzorczego i inne).

Polityka prywatności na blogu – Twoje własne bezpieczeństwo

Dostosowanie bloga do przepisów RODO jest obowiązkiem każdego blogera, a polityka prywatności na blogu, to dla mnie pierwsza informacja o tym, czy dany bloger zadbał o tę kwestię. To często też pierwsza informacja dla osób, które z wejścia w życie nowych przepisów o ochronie danych osobowych uczyniły sobie stałe źródło zarobku. Taka osoba wchodzi na bloga, widzi brak polityki prywatności, myśli: pewnie bloger nie zadbał o ochronę danych, jest szansa na zarobek.  Wysyła wezwanie do zapłaty odszkodowania za naruszenie ochrony jego danych osobowych, niedopełnienie obowiązków informacyjnych etc., pod groźbą skierowania skargi do UODO i pozwu do sądu cywilnego.

Dlatego moja prośba do Ciebie – jeżeli prowadzisz bloga, zadbaj o to, żeby stworzyć dla niego politykę prywatności. I pamiętaj, że chociaż polityka prywatności na blogu jest ważna, to jeżeli chodzi o ochronę danych osobowych to dopiero jeden z wielu elementów, o które trzeba zadbać!

Jeżeli uznasz ten wpis za wartościowy, proszę udostępnij go!  A jeżeli chcesz poczytać na blogu o jakimś zagadnieniu związanym z ochroną danych osobowych bądź z prawem w blogowaniu – daj mi znać w komentarzu! W miarę możliwości postaram się napisać wpis na ten temat 🙂

28
Dodaj komentarz

13 Comment threads
15 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
14 Comment authors
najnowszy najstarszy

Po wejściu RODO chyba z miesiąc zajęło mi napisanie polityki prywatności. Ciężka sprawa, jak się nie wie, jak to napisać. Czytają Twój wpis, wiem, że jeszcze mi kilku rzeczy chyba brakuje. Muszę się temu przyjrzeć. Najważniejsze rzeczy jednak już są.

Bardzo przydatny wpis. Politykę prywatności na blogu mam, ale widzę, że jeszcze muszę uzupełnić o kilka informacji.

Świetny wpis. Myślałam, że to oczywiste, że blog musi mieć politykę prywatności.

Bardzo dobrze, że o tym piszesz. Mam wrażenie, że wielu blogerów już zapomniało o tym jak się martwiło 😉 Na sporej ilości blogów nie zadziało się nic. Smutne, ale prawdziwe. Ja właśnie jestem na etapie tworzenia regulaminu sklepu, który niedługo otwieram. Jeszcze sporo pracy mnie czeka 😉

Marian Paździoch

Dear Lojerka,
przeczytałem Twój artykuł i przypomniała mi się taka anegdota:
Prawnik, inżynier i matematyk zdają test. Zaczyna inżynier, pytają go:
– Ile jest 2+2?
Inżynier pomyślał chwilę i powiedział:
– 4.
Potem zawołano matematyka i zadano mu to samo pytanie. Po chwili zastanowienia odpowiedział:
– 4,0.
Następnie wezwano prawnika i usłyszał to samo pytanie. Prawnik odpowiedział szybciej niż matematyk:
– A ile chcecie, żeby było?
.
.
Zapytasz dlaczego? Odpowiedzią niech będzie cytat z podobnej strony, firmowany również przez prawnika:
„bez wątpliwości prowadzenie niewielkiej, prywatnej strony internetowej (w typie blogaska) nie będzie podlegało pod RODO, które literalnie nie ma zastosowania do przetwarzania danych osobowych „przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze” (art. 2 ust. 2 lit. c RODO);
oznacza to, że twórca takiej prywatnej strony internetowej nie ma potrzeby ani podpisywać umowy o powierzenie przetwarzania z hostingodawcą, ani też martwić się obowiązkami informacyjnymi (polityką prywatności, por. art. 14 RODO);” itd. itd……
Przesłanie z artykułu jest takie: „Jeśli jest to blog hobbistyczny, RODO Cię nie dotyczy, nawet jeśli pozwalasz wysłać do siebie listela.”

Dear Lojerka, jak się to ma do Twojej opinii na ten temat?
O co tu chodzi?
Chciałem się dziś wieczorem dowiedzieć czegoś o regulaminach, polityce prywatności na stronach internetowych i otrzymuję całkowicie odmienne opinie.
Pozdrawiam serdecznie, Twój blog bardzo fajny. Podoba mi się.
Tylko gdzie szukać prawdy?
Jak żyć? 🙂
Darek

Jojo

Właśnie przez przypadek natknęłam się na Twoją stronę i widzę, że jest tu sporo ciekawych rzeczy. 🙂
Mam pytanie odnośnie do podawania własnych danych w polityce prywatności na blogu. Czy wystarczy adres e-mail (i np. pseudonim)? Czy ktoś może się przyczepić o brak innych danych?

Ciekawa

A jeśli podam np. I i II imię bez nazwiska, email?
W ostateczności zamiast adresu domowego adres do skrytki pocztowej?

Asia

Trafiłam na bloga, gdzie nie widzę żadnego zapisu na temat polityki prywatności , przetwarzania danych itp. Jedyne co znalazłam, to informacja pod polem „skomentuj”: „This site uses Akismet to reduce spam. Learn how your comment data is processed.” To chyba za mało? Oprócz kontaktowego adresu e-mail nie ma też żadnych danych osobowych właściela bloga – tylko imię, pod którym odpowiada na komentarze.

Do „komentarze”, pamiętać też trzeba, że Disqus w pewnych aspektach wcześniej był podmiotem przetwarzającym a nie Administratorem :>

Patryk

Faktycznie ta polityka prywatności jest niewdzięczna. Trzeba to zrobić chociaż osobiście nie widzę większego sensu po co i komu to tak naprawdę potrzebne. Wiadomo, że jak strona działa, to wykorzystuje dane. Po co więc wymagać od każdej strony by nękała swoich czytelników wyskakującą polityką prywatności. Czasem te polityki aż trudno zamknąć. Po za tym z jednej strony tak dba się o anonimowość, ochronę danych osobowych a z drugiej strony blogerom, które zazwyczaj są osobami fizycznymi każe się podawać swoje pełne dane personalne

No nie powiem, upierdliwe to trochę jest… cóż zrobić 🙁

Madamme

Mam pytanie odnośnie informowania o mojej tożsamości. Z jednej strony internet daje mi prawo do publikowania moich przemyśleń anonimowo (przynajmniej w teorii, wiem o tym). Nie muszę chcieć, by moje przemyślenia na różne tematy były natychmiast wiązane z moim nazwiskiem, czy wręcz adresem, telefonem! Wystarczy złośliwa osoba, która zacznie mnie nękać telefonami, bo zwyczajnie go znajdzie w polityce. Wystarczy złośliwa osoba, której nie spodoba się mój pogląd (nawet w pełni zgodny z prawem), po czym wykorzysta moje nazwisko i będzie mi dokuczać. Jaki ma sens dbanie o „prywatność” i „nie udostępnianie danych prywatnych” wszem i wobec, skoro w polityce muszę podać…. nazwisko, imię, adres (mojego prywatnego mieszkania!) i np. telefon? Przecież w ten sposób można przyjść do mnie, nękać mnie. Procesy sądowe dla kogoś takiego? Nie dość, że ciągną się latami, to często są umarzane – niska szkodliwość. itd. Stąd moje pytanie – czy wystarczy, że podam po prostu mail do siebie, jako zarządzającego danymi osobowymi, czy MUSZĘ podać prywatny (nie jestem firmą, osoba fizyczna, blogerka) adres, nazwisko i telefon? Jak pogodzić prawo do wyrażania opinii bez narażenia się na konsekwencje ze strony niechętnych osób z RODO? I jeszcze jedna kwestia, chcę prowadzić bloga technicznego. Ta branża jest bardzo „niewybaczająca” i załóżmy, że popełnię jakiś błąd techniczny w publikowanych programach, a ktoś po nazwisku momentalnie się zorientuje i moja marka programistki pójdzie w bagno… Jak sobie z tym poradzić? Bo wychodzi na to, że nawet mając statycznego bloga na GitHubie (nie mam dostępu do IP, logów, itd) muszę….. podawać swoje najbardziej prywatne dane każdemu z całego świata.

Sprawdziłam właśnie Twoją, Ewo, politykę i tam jest zapis: „Autorem bloga jest XXX XXXX, zamieszkała w XXXX, osoba fizyczna, z którą skontaktować się możesz pod adresem XXXX”. Nie masz podanego adresu, telefonu. Czy to nie jest za mało? Czy czasem przepisy RODO nie wymagają pełnych danych kontaktowych? RODO wymaga ujawnienienia tożsamości administratora danych (art. 13 ust. 1 lit. a, art. 14 ust. 1 lit. a RODO).

O ostatnia sprawa, czy masz, Ewo, umowy o powierzenie zawarte z tymi wszystkimi firmami, które wymieniasz? Bo z hostingiem nie problem, ale np. FB? Disquss?

Madamme

O, znalazłam coś takiego:
https://www.rodo.chwp.pl/baza-wiedzy-rodo/obowiazki-informacyjne-administratora-danych-osobowych-na-gruncie-rodo/

„Administrator musi przede wszystkim poinformować osobę, której dane dotyczą, o swojej tożsamości oraz danych kontaktowych. […] Obecne wskazuje się na tożsamość administratora, a tożsamość może wymagać podania również numerów publicznych rejestrów (takich jak KRS, NIP, Regon, czy PESEL), aby nie zachodziła wątpliwość co do tożsamości, szczególnie w przypadku osób fizycznych.”

Czyli co, nawet PESEL?! Przecież w ten sposób można zaciągnąć nawet pożyczkę na kogoś! Nie darmo mówi się o skradzionych dokumentach.

i dalej:

„W RODO mowa jest z kolei o „danych kontaktowych”. Pojęcie to należy rozumieć szeroko, a więc nie tylko jako adres siedziby lub zamieszkania administratora, ale także jego numer telefonu, faxu, poczty elektronicznej, formularza kontaktowego na stronie internetowej etc. Chodzi zatem o maksymalne ułatwienie dostępu osób, których dane dotyczą, do administratora ich danych osobowych.”

I teraz konkretnie – jak to się ma do Twojej polityki Ewo? Czy jeśli podajesz tylko swoje imię, nazwisko, email, to maksymalnie ułatwiasz dostęp do administratora? Czy np. nie obawiasz się, że jakaś złośliwa persona, jak sama na to wskazujesz w Twym artykule, może Cię „nękać” za niespełnienie obowiązku maksymalnego ułatwienia kontaktu? Pytam jako prawnika.

A tu znów piszą, że wystarczy tylko nazwisko, imię i adres email: https://lenamurawska.pl/pytania-o-rodo/

Tęsknię do starych czasów, kiedy to jak się wchodziło na stronę to nic się nie klikało, nie było takich wymysłów jak teraz i nikt od tego nie ginął 🙂