rodo na blogu

Jak wprowadzić RODO na blogu? Pisze zarabiająca blogerka.

Kompendium wiedzy o RODO na blogu. Opisałam KAŻDE swoje działanie, jakie wykonałam. Pamiętaj, by udostępnić wpis, jeśli znasz kogoś, komu ten tekst pomoże!


Spis treści wpisu:

Co zrobiłam dla siebie, by poprawnie wprowadzić RODO na blogu?

Ta część jest poświęcona działaniom, których nie musisz robić. Ja skoro mogę coś robić, to robię to, bo dzięki temu rozwijam się i poszerzam wiedzę a dane osobowe zaczynają być walutą na rynku online, są cenne a nawet… bezcenne.

  1. Aktualizacja antywirusa
  2. Aktywowanie ochrony połączenia internetowego
  3. Aktualizacja WordPressa
  4. Teczka na dokumenty związane z RODO
  5. Stworzenie rejestru czynności przetwarzania danych osobowych
  6. Umowy powierzenia danych
  7. Metody ochrony danych osobowych
  8. Rejestr naruszeń

Specjalnie stworzyłam ten spis treści, by Ciebie nie przestraszyć ogromem spraw. Zatem możesz od razu odszukać drugą część wpisu:

Jakie wprowadziłam zmiany widoczne dla odbiorców?

  1. Informacja dla czytelnika vs polityka prywatności
  2. Darmowy certyfikat SSL
  3. Newsletter zgodny z RODO
  4. Linki do zgłębiania wiedzy o RODO na blogu i w biznesie

O tym kim jestem oraz o tym, czym jest RODO przeczytasz w moim poprzednim artykule: RODO dla blogerów

Wojtek Wawrzak, prawnik pomagający twórcom internetowym, a zatem także blogerom, proponuje najpierw wykonać szereg działań „wewnętrznych”. Czytelnik ich nie widzi a bloger ma szansę rozpoznać, w których momentach swoich działań przetwarza dane osobowe. Zgadzam się z tym.

Jeśli masz wątpliwości, czy RODO Cię dotyczy, to Wojtek pisze tak: Najbezpieczniej w ogóle przyjąć, że RODO zawsze cię dosięga, bo twórczość internetowa już nieodłącznie wiąże się z przetwarzaniem danych osobowych. Dopowiem, że niejeden prawnik uznaje IP za dane osobowe. Ponadto nie jest powiedziane, że skoro dziś nie masz newslettera, albo wyłączysz komentarze, to jutro jednak nie zacznie korzystać z tych narzędzi.

W jednym ze swoich LIVe’ów podkreśliłam, że skoro jesteś blogerem, to wykorzystaj swoją społeczną wartość i propaguj wiedzę o danych osobowych. Budź świadomość swoich Czytelników. Zatem dla edukacji społeczeństwa – warto!

Co zrobiłam dla siebie, by poprawnie wprowadzić RODO na blogu?

Nie wszystkie działania są bezpośrednio związane z RODO. Jest to regulacja dla krajów UE, mówiąca o celach zbierania i ochronie danych osobowych. Ma być przejrzyście, legalnie, tylko tyle, ile trzeba, aktualnie i bezpiecznie. Administratorzy danych osobowych mają obowiązek informacyjny względem osób, których dane zbierają.

By spełnić warunki RODO, warto wykonać kilka działań około tematycznych, by poznać swoją indywidualną sytuację.

Krok 1 – aktualizacja antywirusa na komputerze

W wielu aspektach popieram RODO. Jednym z nich jest okazja do zrobienia działań ważnych, które robi się raz na jakiś czas.

Oczywiście aktualizacje instaluję na bieżąco, jednak kompleksowe skanowanie komputera przez program antywirusowy wykonuje od czasu do czasu. Dzięki motywacji do skanowania, osobiście również czuję się bezpiecznie a skoro korzystam z urządzenia do prowadzenia bloga – tym lepiej dla użytkowników.

Krok 2 – aktywowanie ochrony połączenia internetowego

Dodatkowo mój program antywirusowy, na tydzień przed wejściem RODO, zaproponował mi dodatkowe bezpłatne chronienie łącza, do 200mb dziennie. Wykorzystałam okazję, bo czemu nie.

RODO, bezpieczne łącze

Kolejną opcją było ustawienie które strony chce otwierać w chronionym oknie. U mnie w ten sposób otwierało się jedynie konto bankowe, teraz rozszerzyłam swój wybór.

Krok 3 – aktualizacja wersji WordPressa

Wspominałam o tym na jednym z LIVE’ów. Nie tylko bloger ma określony w przepisach termin wprowadzania wytycznych, ale także narzędzia, z których korzysta. Podobnie jest z WordPress, który przy okazji aktualizacji przed wejściem w życie RODO, ukłonił się w stronę autorów stron, poza licznymi udoskonaleniami, dodając szablon polityki prywatności.

Pokazuję Ci zrzut z ekranu. Bardzo podoba mi się sposób w jaki opisali politykę prywatności, nie odstrasza, jest zrozumiały i ma niezbędne linki, gdyby ktoś chciał wiedzieć więcej.

Krok 4 – przygotowanie teczki na sprawy związane z RODO

Krok 5 – stworzenie rejestru czynności przetwarzania danych osobowych

Krok ten wykonałam analogowo, na papierze. Zaznaczam, że nie jest to wymóg. Chodzi o to, by zidentyfikować, gdzie dane mamy i co możę się z nimi dziać.

Prowadzę 3 strony internetowe:

  1. lenamurawska.pl, na której teraz jesteś, związana z moją sferą zawodową
  2. mama-m.pl z naciskiem na tematykę pracy dla mamy, freelance, lifestyle, Bydgoszcz
  3. mamadlamam.pl – miejsce z założenia uniwersalne, idące bardziej w kierunku serwisu informacyjnego dla mam, nowy projekt.

Wszystkie te strony są postawione na WordPress, korzystam z Disqus do komentowania oraz używam MailerLite do wysyłania newsletterów a za pośrednictwem ww. stron zbieram niezbędne ku temu dane. Mam zainstalowane Google Analitycs.

  1. zbieram imiona i adresy e-mail potrzebne do wysyłki newslettera,
  2. mam aktywny system komentarzy Disqus połączony z systemem WordPressa, zarządzam komentarzami z poziomu obu opcji,
  3. piszę artykuły sponsorowane i rozliczam się za to umowami lub za pośrednictwem dedykowanych serwisów,
  4. koresponduję z osobami zainteresowanymi za pośrednictwem e-maila.

Na kartce napisałam swoje imię i nazwisko oraz adres e-mail. Nadałam dokumentowi nazwę: Rejestr czynności przetwarzania danych osobowych. Jest to tabelka zawierająca kolumny: Lp., cel przetwarzania, osoby, kategorie danych, usunięcie danych, środki bezpieczeństwa.

Krok 6 – podpisanie umów powierzenia danych osobowych

Identyfikacja czynności, pozwoliła mi odkryć z kim współpracuję i kto ma/może mieć „dostęp” w jakiś sposób do danych, jakie zbieram za pośrednictwem moich stron. Na tej podstawie odezwałam się do hostingodawcy i dostawcy usług e-mail w tej sprawie. Każda większa firma współpracująca z osobami, które zbierają dane osobowe, przygotowuje swoją dokumentację, ale nie wszystkie informują o tym publicznie, zatem powinno się poprosić

Krok 7 – przygotowanie spisu metod ochrony danych osobowych

Stworzyłam spis czynności kiedy przetwarzam dane, odnotowałam kto ma do nich dostęp (u mnie nikt poza mną) oraz jak chronię dane osobowe.

Metodami ochrony danych są u mnie:

  • aktualny program antywirusowy,
  • smartfon, jak i moje konto użytkownika na laptopie jest chronione hasłem,
  • dokumenty przechowywane w bezpiecznym miejscu,
  • certyfikat SSL,
  • inne działania, jak choćby zabezpieczenie łącza internetowego.

Krok 8 – przygotowanie wzoru raportu naruszeń

Jeśli jakiś czytelnik zgłosi się do mnie z pretensjami, lub z mojego komputera skorzysta osoba niepowołana, mam obowiązek to odnotować. Raport ma nagłówek, podpunkt o tym kto zauważył, kto uczestniczył, opis sytuacji, zastosowane rozwiązanie. 4 opcje.

Wykonanie kroków dla siebie, jest dodatkową wartością, jeśli (tfu, tfu) cokolwiek kiedykolwiek się nam wydarzy, np. kontrola. Wówczas wyciągam teczkę z dokumentacją i mam się czym wykazać.

Jest też coś, co przez ostatnie tygodnie przed obowiązywaniem RODO, robimy w sumie nieświadomie. Są to liczne aktualizacje polityk prywatności w serwisach informacyjnych, w jakiś systemach i narzędziach, z których korzystamy etc. itp. Trzeba było się na nie zgodzić.

******************************************

Uff! Teraz czas wyciągnąć wnioski i podjąć działania, które będą widoczne dla odbiorców.

Jakie wprowadziłam zmiany widoczne dla odbiorców?

Krok 1 – STWORZENIE „Informacji dla Czytelnika”

Jest to spełnienie OBOWIĄZKU INFORMACYJNEGO, jaki RODO narzuca na administratora danych osobowych. Proste propozycje ma Wojtek Wawrzak a bardziej skomplikowaną odbierzesz od Ilony Przetacznik.

Ja proponuję Ci 2 możliwości:

  • Stworzenie materiału pn. Informacja dla czytelnika lub inną, ale mówiącą o bezpieczeństwie danych osobowych. Sugeruję to rozwiązanie blogerom nie prowadzącym działalności gospodarczej. Mam tu też na myśli blogerów, którzy uważają, że nie administrują danymi. Dzięki temu będą edukować czytelników. Słowo „informacja” jest bardziej przyjazne dla ucha, niż „polityka” 😉
  • Poprawienie obowiązującej wcześniej polityki prywatności lub napisanie jej, jeśli takowej na stronie nie masz. Myślę, że to rozwiązanie powinny wykorzystać osoby zarejestrowane w CEIDG, u których blog jest narzędziem pracy, czy to blog firmowy, czy blog, na którym publikowane są artykuły sponsorowane.

Ja przygotowałam politykę prywatności dla mojej strony zawodowej – jesteś na niej. Natomiast dwa inne blogi zostały wzbogacone o teksty informacyjne.

KROK 1 oparłam o analizę tego, w jaki sposób ludzie korzystają z mojego bloga:

  1. Czytelnik, który nie zostawia widocznych dla innych śladów na blogu
  2. Komentujący
  3. Subskrybent

Mnie dotyczą wszystkie 3 punkty. Jeśli nie masz newslettera, masz zablokowane komentowanie, to dla Ciebie będzie tylko 1. Jeśli można u Ciebie komentować, ale nie zbierasz maili – 1 i 2. Jeśli Masz zablokowane komentowanie – punkt 1 i 3.

Co wpisałam w swojej informacji o RODO na blogu?

Administrator danych osobowych jest zobowiązany poinformować kim jest (ma być do zidentyfikowania), po co zbiera dane, zawrzeć informacje o cookies. Skala zagłębienia się w temat jest bardzo różna. Jedni blogerzy tłumaczą się w każdej sprawie, krok po kroku. Inni obwieszczają: moje dane sa u ciebie bezpieczne.

  • To jest wymóg RODO, by podać KONKRETNIE kto jest administratorem danych osobowych dla danego bloga. Jest mnóstwo obaw co do podawania adresów domowych. Ja mieszkam w blokowisku, zatem podałam imię i nazwisko, ulicę, numer bloku, kod pocztowy i miejscowość, pominęłam numer mieszkania. Podane dane pozwalają mnie zidentyfikować a o to chodzi w regulacji, jednocześnie mam osobisty komfort, że coś jednak dla mnie zostanie w razie, gdyby ktoś chciał mi fizycznie zaszkodzić. Jednak prawnicy potwierdzają, że wystarczy imię, nazwisko i e-mail.
  • Zdanie o tym, że zabezpieczam dane wykorzystując maksimum możliwości i wiedzy, jaką posiadam.
  • Swego rodzaju ostrzeżenie, zwrócenie uwagi, że Czytelnik, jako internauta, zakładając sobie konta w różnych miejscach, czy korzystając z przeglądarek, po pierwsze zgadza się na ich regulaminy i polityki prywatności, po drugie w dostępnych dla siebie ustawieniach może sam zadecydować co ma być jawne i dla kogo a z czego rezygnuje.
  • Informacje o tym, za pośrednictwem jakich urządzeń korzystam z internetu i w jaki sposób są one zabezpieczone oraz kto ma do nich fizyczny dostęp, np. antywirus, hasło lub PIN, nikt nie korzysta.
  • Informacje o tym, jak zabezpieczone są dane w sensie wirtualnym, czyli np. dany serwis we wnętrzu udostępnia mi do wglądu dane o np. komentującym – pisze, że konto jest zabezpieczone hasłem.
  • Zestaw linków do polityk prywatności usług, z których korzystam w związku z blogiem, czyli tym samym mogą mieć znaczenie dla Czytelnika.

Link do mojej Informacji dla Czytelnika udostępniłam w widgetach stopki. Generalnie sugerowana jest stopka, bo do niej internauci są przyzwyczajeni, jako do źródła informacji.

Krok 2. – Certyfikat SSL

Skorzystałam z bezpłatnej usługi certyfikacji na stronie https://letsencrypt.org/.

Istotne informacje!

  • Mam hosting w jednej firmie a domeny wykupione u kogo innego. Certyfikat SSL mogę wykupić u hostingodawcy.
  • Mam w sumie 3 domeny główne, czasem tworze subdomeny np. dla wydanej przez siebie książki, czy do jakiejś akcji, dla której tworzę landing page – w takich bardziej skomplikowanych przypadkach lepiej przeprowadzić rozmowę z konsultantem, który certyfikat wybrać. Znaczenie ma to, czy tworzysz subdomeny, czy nie.
  • Darmowy SSL możesz mieć na każdą subdomenę oddzilenie albo jak Ci hosting pozwoli to jako wildcard jeden na wszystkie subdomeny w tej samej domenie.
  • Być może zwracasz uwagę, że adres internetowy z czasem jest z www lub bez. Wówczas podczas zamawiania certyfikatu, należy wpisać nazwę domeny bez „www”. Certyfikat będzie wtedy chronił domenę z www i bez www.

Krok 3. – Aktualizacja polityki prywatności

Dzięki RODO nie musisz mieć wyskakujących okienek informujących o ciasteczkach, jednak informacja o nich powinna być zawarta w polityce prywatności. Ja treść swojej wzorowałam na propozycji Wojtka Wawrzaka, który jest dla mnie autorytetem w kwestii RODO, ponieważ zajmuje się twórcami internetowymi a w tej grupie są blogerzy.

Link do polityki prywatności umieściłam w ramach widgetu w stopce. Równie dobrze może to być link przy treści o prawach zastrzeżonych.

Newsletter zgodny z RODO krok po kroku

Swoich subskrybentów zbieram za pośrednictwem MailerLite (polecam!) Być może w Twoim systemie znajdziesz analogiczne możliwości, dlatego zachęcam Cię do przeczytania osobnego artykułu na ten temat. Nie chcę Cię usypiać a o maile otrzymuję sporo pytań, dlatego zapraszam tu: NEWSLETTER zgodny z RODO.

  1. MailerLite pozwala mi na tworzenie grup subskrybentów. Mam np. grupę blogerów i grupę mam. Tworząc landing page, okno subskrypcji, czy inny formularz, mogę przyporządkować do niego odpowiednią grupę. Od razu, gdy rozpoczęłam wdrażanie RODO, do wszystkich swoich grup stworzyłam odpowiedniki przy których dopisywałam np. blogerzy z RODO, mamy z RODO. Chodzi o to, by budować już bazę na nowych zasadach i nie musieć ponownie pytać tych ludzi o zgodę.
  2. Checkbox ze zgodą przy okienkach do podania imienia i adresu e-mail, cyt.: Chcę zapisać się do newslettera, a co za tym idzie wyrażam zgodę na otrzymanie na mój adres e-mail informacji o blogowaniu przygotowanych przez Lenę Murawską. Treść przygotowana w oparciu o przykład Wojtka Wawrzaka.
  3. Uruchomienie opcji Double opt-in tam, gdzie tego nie wykorzystywałam. Oznacza to, że po kliknięciu przycisku potwierdzającego zapis, czy to w formularzu, czy na landingu, jest wysyłany mail potwierdzający podany adres i w nim też trzeba kliknąć zgodę.

Linki do samodzielnego zgłębiania wiedzy nt. RODO na blogu i w biznesie

Gdy lubisz szukać samodzielnie, pamiętaj, że materiały znajdziesz używając nie tylko skrótu RODO, ale również GDPR – The General Data Protection Regulation. Dla zaoszczędzenia czasu podrzucam Ci kilka istotnych linków:

  1. RODO dla blogerów – mój pierwszy wpis o wdrażaniu przepisów
  2. Artykuł o RODO dla twórców internetowych
  3. Regulacje dla biznesu online – materiał anglojęzyczny
  4. Co potrzeba wiedzieć o GDPR – materiał anglojęzyczny

Skieruję Cię do nagrań o RODO, które możesz odsłuchać podczas przygotowywania się do spełnienia wymogu informacyjnego związanego z ochroną danych osobowych.