RODO dla blogerów

RODO dla blogerów. Jak wdrożyć regulacje?

Nowe prawo zawsze wywołuje zamieszanie. W przypadku RODO nastraszono osoby z nim związane skomplikowaniem procedur i ogromnymi karami. Warto w swoich zapędach odróżnić blogera od firmy zatrudniającej 250 osób. Jeśli blogujesz, zapoznaj się z tym materiałem i głowa do góry!



Co jakiś czas pojawia się w mediach informacja o wycieku danych osobowych. Takie czasy, nie unikniemy tego. To przestępcy wyprzedzają prawo szukając luk i wytrychów, nie odwrotnie. Skoro masz odwagę prowadzić blog i np. mieć bankowe konto internetowe, to pewnie zdajesz sobie z tego sprawę. Bez względu na to, czy kiedykolwiek informacje związane z Tobą dostaną się w niepowołane ręce, prawo obowiązuje nas wszystkich. Jeśli osoby decyzyjne karzą nam je zastosować – powinniśmy ich posłuchać, żeby czuć się względnie bezpiecznie i nie musieć się denerwować.

Kim jestem?

Nazywam się Lena Murawska i od 1997 roku moje życie toczy się także w przestrzeni wirtualnej. Jestem blog managerem. Prowadzę blogi (swoje i na zlecenie). Mam konto bankowe w internecie i nie waham się go używać. Moje życie zawodowe opiera się o zdalne wykonywanie zleceń (copywriting). Nie jestem prawnikiem. Nie ukończyłam studiów z administracji. Jestem praktykiem, humanistką. Nie lubię, kiedy straszy się ludzi lub chce na nich zarobić, wypuszczając kursy, kiedy jeszcze nie wszystko jest jasne. Liczę, że zaufasz mi na tyle, by zapoznać się z materiałem, jaki z myślą o Tobie przygotowałam.

Podziękowania

Dziękuję członkiniom grupy dla blogerek (Asy blogowania) za inspirację i motywację do powstania wpisu.

Dla kogo jest ten artykuł?

Pisze go z myślą o osobach indywidualnie pracujących (ew. w otoczeniu rodziny), czyli freelancerach a przede wszystkim blogerach, no i copywriterach, którzy mogą działać w podobny sposób.

Co to jest RODO?

RODO jest rozporządzeniem dotyczących ochrony danych osobowych. Ma moc na terenie krajów Unii Europejskiej i ma porządkować przepisy prawne w krajach unijnych. Każde państwo może doprecyzować wytyczne, ale RODO (GDPR – The General Data Protection Regulation) daje obowiązujące w UE podstawy.

Jakich danych osobowych dotyczy RODO?

Dotyczy tylko danych osobowych, które są związane z kimś, kto jest zidentyfikowany lub którego tożsamość można zidentyfikować.
Zidentyfikowane obejmuje: nazwy, adresy e-mail, adresy fizyczne, a większość osób zgadza się, że zawiera adresy IP i inne informacje zbierane automatycznie (zwykle zbierane przez Google Analytics).

Obejmuje również wszelkiego rodzaju przetwarzanie i informacje, które dodajesz do swojej bazy danych kontaktów. Mogą to być informacje zbierane automatycznie, za pomocą metody opt-in (zgoda na newsletter) lub dowolnej innej metody zbierania. (np. ankiety, quizy itp.) lub poprzez tagowanie lub segmentowanie w bazie danych CRM. Te działania są uwzględniane, ponieważ skutecznie „monitorujesz” to, co robią ludzie.

6 zasad RODO

1: Dane będą przetwarzane zgodnie z prawem, sprawiedliwie i w przejrzysty sposób – masz pewność z czego dane zbierasz

2: Dane będą zbierane w określonych, jednoznacznych i legalnych celach – zawsze informujesz po co zbierasz dane a możesz to robić tylko w celach dozwolonych prawem.

3: Przetwarzanie danych jest ograniczone do tego, co jest konieczne do osiągania legalnego celu – jeśli wystarczy Ci czyjś mail, jak to jest w przypadku newslettera dla czytelników to zbierasz tylko adresy e-poczty i np. imiona, by móc stworzyć zwrot do osoby w treści mailingu.

4: Dane muszą być dokładne, aktualne i poprawione – bloger, szczególnie ten nie prowadzący firmy nie jest w stanie zapanować nad tą zasadą, dlatego to np. subskrybent jest odpowiedzialny za zmianę danych.

5: Dane należy przechowywać nie dłużej, niż jest to konieczne – np. jeśli zbierasz dane do kursu na temat X, to po zakończeniu jego sprzedaży, likwidujesz bazę z danymi, nie wykorzystujesz jej do promowania innej oferty.

6: Dane będą przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo – napiszę o sposobach zabezpieczeń, jakie może podjąć KAŻDY bloger.

Jak RODO dla blogerów ma się do ich dotychczasowych list mailingowych?

Jedni odpowiadają na to pytanie łagodnie, inni restrykcyjnie. Powiem Ci, co ja zrobię.

Mam 3 blogi i do newslettera każdego z nich zbieram adresy e-mail oraz imiona właścicieli maila. Około 20 maja wyślę do swoich subskrybentów maila z informacją o nowych przepisach prawnych. W treści maila opiszę im do czego wykorzystuję zebrane maile i poproszę, aby jeszcze raz wyrazili zgodę na otrzymywanie maili. Wyzwanie polega na nakłonieniu ludzi do otwarcia e-maili. Osoby, które przed 25 maja nie pojawią się na aktualnej liście – usunę. Zarówno dodawanie, jak i usuwanie danych to ich przetwarzanie, dlatego lepiej to zrobić przed terminem nowych zasad.

I teraz – jeśli masz w planach założenie newslettera lub nowe kampanie landing page, wstrzymaj się ze startem do 25 maja, aby potem sobie nie mieszać lub poopisuj wszystko według wytycznych, które zaczną obowiązywać.

Według materiałów do jakich dotarłam, nie ma już miejsca na zbieranie ogólnych baz danych. Każda zgoda powinna być dobrowolna, ale przede wszystkim udzielona w konkretnym celu, który wyjaśnisz.

Polityka prywatności a RODO dla blogerów

  • zgodnie z prawem musisz informować ludzi o pewnych informacjach i musisz podawać im informacje, aby uzyskać świadomą zgodę,
  • musisz podać te informacje osobom zainteresowanym w momencie, gdy zbierasz o nich informacje,
  • polityka prywatności to narzędzie, którego używasz do realizacji obowiązującego prawa bez względu na obowiązywanie RODO,
  • masz obowiązek ujawnienia w polityce prywatności: swoich danych kontaktowych, informacji po co i jakie dane są gromadzone, co robisz z danymi i kto ma do nich dostęp, jakie prawa mają osoby zapisane w Twojej bazie, zgodne z GDPR (RODO).

Gdzie umieścić politykę prywatności na blogu?

Utwórz samodzielną stronę o polityce prywatności. Umieść linki do tej strony w stopce bloga, na swojej stronie internetowej, na stronach opt-in, stronach sprzedaży, stronach wiodących, stronach rejestracji webinarów itp. Umieść link w dowolnym miejscu, w którym prosisz o zgodę lub zbierasz dane.

RODO dla blogerów krok po kroku

Podstawą mojej strategii wdrażania RODO jest artykuł Wojtka Wawrzaka dedykowany twórcom internetowym. Wojtek jest prawnikiem. Możesz zaufać jemu i od razu przejść do wpisu. Jeśli zostaniesz jeszcze u mnie – będzie mi bardzo miło.

Zbierając to, o czym wspomniałam wcześniej oraz wytyczne Wojtka, oto kolejne kroki, jakie wykonałam lub wykonam przed terminem wejścia w życie nowego prawa:

1. Przygotowanie spisu danych osobowych, jakie przetwarzam.

W przypadku blogerów mogą to być dane potrzebne do wysłania newslettera, do przeprowadzenia (konkretnego!) konkursu, dane komentujących, dane zarejestrowanych użytkowników np. w Twoim WordPressie, dane zleceniodawców płatnych kampanii i/lub artykułów sponsorowanych. Każda czynność to osobna tabelka. Kolumny szczegółowo opisał Wojtek w swoim artykule.

2. Kto uczestniczy w przetwarzaniu danych, które zbieram?

Powyższy rejestr pozwolił mi wyodrębnić podmioty, które partycypują w przetwarzaniu i przechowywaniu danych. Nie biorę ich przeciez do buzi i nie połykam. Potrzebuję szeregu narzędzi, by działać. Te narzędzia dostarcza mi:

  • hostingodawca ,
  • dostawca usługi mailingowej,
  • serwisy umożliwiające blogerom zarabianie na blogu bez konieczności zakładania DG,
  • system do komentarzy/wtyczki.

Przygotowując spis tych jednostek, warto sprawdzić, czy masz zaakceptowane nowe warunki przetwarzania danych osobowych. Kiedyś musiał to być dokument minimum wysłany pocztą. Dzięki RODO, wystarczy elektroniczna zgoda na nowe warunki. wróć uwagę, że banki, czy firmy telekomunikacyjne (u mnie Orange) już rozesłały nam dokumenty o nowym rozporządzeniu. Podobnie miałam w przypadku Facebook’a i Instagrama, które wprowadziły nowe funkcjonalności np. zaznaczyły fakt, że nikomu nie udostępnią danych. Facebook wprowadzi rozpoznawanie twarzy na zdjęciach, by móc powiadomić nas o ich kradzieży itd..

Przeczytam regulaminy i polityki prywatności na stronach tych podmiotów. Przejrzę pocztę e-mail, czy nie otrzymałam informacji o potrzebie wyrażenia nowych zgód.

Nie zaniedbaj tego, ponieważ skutki niedociągnięć tych podmiotów będziesz ponosić ty jako administrator danych osobowych. Wojtek Wawrzak

3. Jakie mam procedury postępowania z danymi osobowymi?

Kolejny spis sugerowany przez Wojtka. Ten powinien zawierać informacje co ja zrobię, by zapewnić danym bezpieczeństwo.

  • do danych mam dostęp tylko ja,
  • mam aktualnego i legalnego antywirusa na komputerze,
  • dostęp do komputera/urządzenia mobilnego ograniczony hasłem,
  • odpowiednie przechowywanie umów wydrukowanych np. umów o dzieło na napisanie tekstu,
  • certyfikat SSL dla domen.

4. Monitorowanie wycieku danych

Tfu, tfu, nie życzę sobie takich sytuacji, ale każdy przypadek powinien być odnotowany np. mąż przez przypadek otworzył list adresowany do mnie a tam była umowa poufności z jakimś zleceniodawcą. To wewnętrzny rejestr zdarzeń.

5. Przygotowanie zgodny z prawem narzędzi dla osób zainteresowanych przekazaniem mi danych osobowych.

  • checkbox – zobacz powyżej przykładową treść inspirowaną informacjami od Wojtka – zobaczysz ją przy oknie do zapisu na mój newsletter,
  • klauzula informacyjna – Wojtek proponuje, by dodać ją do maila potwierdzającego zapis.

Generalnie, wszędzie tam, gdzie użytkownik podaje jakieś dane osobowe, powinna zostać zawarta choćby skrócona klauzula informacyjna odsyłająca do polityki prywatności, byś mógł powiedzieć, że wypełniłeś należycie obowiązek informacyjny. Wojtek Wawrzak

RODO na blogu krok po kroku