Go to english version of this post / Przejdź do angielskiej wersji tego wpisu
Muszę przyznać, iż popularność tego bloga przerosła moje najśmielsze wyobrażenia. Na początku myślałem, iż nie zyskam wielu Czytelników i będę pisał raczej do szafy. Przez to nigdy nie myślałem choćby o czymś takim jak napisanie polityki prywatności. Jednak przy takich wzrostach to wstyd, iż jeszcze nie mam takiego dokumentu, więc postanowiłem siąść, coś z tym zrobić i przy okazji upiec dwie pieczenie na jednym ogniu, bo w tym wpisie opiszę cały proces pisania przeze mnie polityki prywatności dla tego bloga.
Od razu na wstępie chcę zaznaczyć, iż nie jestem ekspertem w tej dziedzinie, a przepisy RODO/GDPR to dla mnie czarna magia. Będę po prostu pisał to na tyle na ile udało mi się zebrać informacji w Internecie oraz skorzystał z legendarnego na chłopski rozum. Mam nadzieję, iż żaden prawnik nie ukrzyżuje mnie za to co napiszę poniżej. Jestem jednak bardziej niż otwarty na konstruktywną krytykę!
Założenia początkowe
Na własnym przykładzie widzę niechęć do wszelkiego rodzaju tematów związanych z RODO/GDPR. Wydaje mi się, iż to przez formę jaka jest używana do tworzenia zapisów polityk prywatności, warunków korzystania z usług i wszelkich innych regulaminów. W większości przypadków są to po prostu ogromne bloki tekstu podzielone na paragrafy, które w takiej formie mają wyglądać na turbo-profesjonalne. Wydaje mi się, iż moje nastawienie nie jest czymś wyjątkowym i więcej osób (o ile nie większość) ma te same przemyślenia. Czytanie czegokolwiek w tej formie może sprawiać dziką przyjemność jedynie prawnikom i totalnym zapaleńcom. Ale czy tak naprawdę o to w tym wszystkim chodzi? Żeby napisać coś w sposób jak najbardziej zawiły i niezrozumiały dla drugiej strony jak to tylko możliwe? Może ma to sens dla kogoś kto chce coś ukryć, tudzież przeszmuglować w potoku mądrze i groźnie brzmiących słów. W praktyce RODO/GDPR to świetna sprawa, której podstawowym założeniem powinno być dbanie o prywatność i zarazem bezpieczeństwo zwykłych ludzi, obywateli, użytkowników usługi. Każdy powinien mieć prawo dbania o bezpieczeństwo swoich danych i posiadać narzędzia do egzekwowania tego prawa.
Czy w takim razie można stworzyć politykę prywatności, która bez zbędnego pier… będzie spełniała swoją rolę? W mojej ocenie tak! Wystarczy zastanowić się jaki jest cel pisania takiego dokumentu, zadać odpowiednie pytania i sumiennie na nie odpowiedzieć zachowując przy tym spójną formę, czyli skupić się jedynie na meritum.
Jakie to pytania?
Wbrew pozorom zadanie polityki prywatności jest bardzo proste. Jako właściciel (administrator) strony/usługi/aplikacji mamy dostarczyć użytkownikowi wszystkie informacje dotyczące jego danych. Podzieliłem to na 6 pytań, które należy sobie zadać:
- Kto jest administratorem (osobą odpowiedzialną) danych zbieranych na tym blogu?
- Co, tj. jakie dane są zbierane?
- Dlaczego te dane są zbierane?
- Gdzie przechowywane są te dane?
- Komu poza administratorem udostępniane są te dane?
- Jaką kontrolę nad swoimi danymi ma użytkownik?
Piszemy!
1. Kto
Administratorem danych zbieranych na moim blogu jestem ja sam. Jako, iż jestem osobą fizyczną, a nie firmą, i nie mam zarejestrowanej działalności gospodarczej związanej z tym blogiem to ilość danych, które muszę podać jest ograniczona jedynie do imienia, nazwiska, adresu korespondencyjnego i adresu e-mail, które spełniają ustawowy wymóg udostępnienia użytkownikowi kanału do komunikacji ze mną. W tym przypadku daję możliwość kontaktu poprzez standardową korespondencję listową lub elektronicznie poprzez e-mail.
2. Co
W tym miejscu musimy wypisać rodzaje zbieranych (i przetwarzanych) danych. Muszę przyznać, iż sam miałem duży problem, bo WordPress nie jest dla mnie jak otwarta księga, którą w pełni rozumiem i wiem gdzie w niej szukać konkretnych rzeczy. W przypadku innych skryptów, które napisałem od początku do końca sam, nie mam najmniejszego problemu. Wtedy bez cienia wątpliwości mogę napisać, iż moje narzędzia nie używają cookies i nie zbierają absolutnie żadnych danych osób ich używających, co przeważnie potwierdzam poprzez udostępnienie ich jako open-source. Jednak w przypadku bloga mamy aktorów zewnętrznych w postaci chociażby wtyczek czy choćby motywów, których sam nie napisałem, i to już trudniej utrzymać pod 100% kontrolą.
Bardzo dużą pomocą w ogarnięciu tej sprawy okazało się dla mnie rozszerzenie do przeglądarki Firefox o nazwie Rentgen, stworzone przez ekipę Internet. Czas działać!. Pozwala ono na przeskanowanie swojej (lub czyjejś) strony i wygenerowanie raportu skupionego na tym czy dana strona spełnia wszystkie ustawowe wymagania RODO/GDPR, a także jak ogólnie dba (lub nie) o prywatność swoich użytkowników. Na tej podstawie zdefiniowałem co powinienem poprawić na mojej stronie.
W pierwszej kolejności wziąłem się za Google Fonts, czyli czcionki zewnętrzne pobierane z serwerów Google. To bardzo interesująca taktyka ze strony molocha, która bazuje na hostowaniu na swoich serwerach czcionek używanych przez wiele stron. Przeważnie pośredniczy temu domena gstatic.com. Ale co w tym sprytnego? Otóż każda osoba, która odwiedza stronę używającą Google Fonts, podczas wczytywania tejże strony łączy się z serwerami Google’a i pobiera te czcionki jako zasób zewnętrzny. W ten sposób Google może bardzo skutecznie monitorować ruch w sieci, profilować ludzi i analizować ich poczynania w sieci. Wszystko po to, aby wiedzieć o Tobie jak najwięcej i na tej podstawie serwować Ci treści (przeważnie reklamy), które będą najmocniej na Ciebie oddziaływały. To jednak jedynie czubek góry lodowej, bo takie praktyki niosą za sobą jeszcze wiele innych zagrożeń dla prywatności użytkowników. No dobrze, ale jak uchroniłem przed tym swoich Czytelników? W bardzo prosty sposób. Wszystkie czcionki, które są używane na tym blogu, zostały przeze mnie pobrane i umieszczone na serwerze, na którym hostowany jest ten blog. To oznacza, iż użytkownik wchodząc tutaj po raz pierwszy musi tak samo pobrać czcionki, ale nie robi tego poprzez kontakt z serwerami Google. Można to zrealizować na wiele różnych sposobów, ale według mnie najprostszym z nich jest zastosowanie wtyczki do tego dedykowanej o niezbyt poważnej nazwie OMGF | GDPR/DSGVO Compliant, Faster Google Fonts. Easy. Prostota działa tej wtyczki sprawia, iż Jjest to rozwiązanie, z którym poradzi sobie absolutnie każdy.
Kolejnym tematem jaki był problematyczny na moim blogu to wtyczka Jetpack, a konkretnie jej moduł Stats służący do zbierania statystyk odwiedzin bloga. Jetpack jest wtyczką od Automattic, czyli twórców samego WordPress. To daje pewien spokój w zakresie przetwarzania danych użytkowników, bo jest to firma dość zaufana i dbająca o prywatność swoich użytkowników, patrząc po dokumentacji jaką dostarcza. Jednakże nie podobało mi się to, iż dane moich Czytelników mogą być wysyłane gdzieś poza serwer, na którym uruchomiony jest blog, więc postanowiłem znaleźć alternatywę. Po krótkim badaniu rynku zapadła decyzja o skorzystaniu z wtyczki Independent Analytics, która przekonała mnie tym, iż nie używa ciasteczek (cookies), nie przechowuje żadnych danych pozwalających na identyfikacje konkretnej osoby oraz wszystkie statystyki przechowuje na serwerze właściciela bloga, na którym jest zainstalowana.
Jetpack po odpowiednim wykastrowaniu (usunięciu niepotrzebnych funkcji) dalej pozostanie na moim blogu jako wtyczka, bo oferuje kilka naprawdę przydatnych narzędzi jak ładny i wygodny blok galerii w postaci karuzeli (slideshow), którego często używam, moduł Firewall zabezpieczający bloga, czy też moduł Akismet, który pomaga mi walczyć z falami spamu, które już miały okazję zaatakować mojego bloga. Są to narzędzia, które nie zbierają żadnych danych moich Czytelników, co potwierdza dokumentacja dostarczona przez twórców Jetpack, którym trzeba przyznać, iż stawiają dość duży nacisk na transparentność w zakresie prywatności, a każdy moduł będący częścią ich wtyczki ma wypisane czy zbiera, i o ile tak to jakie, dane. Wszystkie te informacje dostępne są tutaj.
Czy w takim razie jako administrator tego bloga nie zbieram i nie przetwarzam żadnych danych moich Czytelników? Robię to, chociażby poprzez system komentarzy i formularz kontaktowy.
Zacznijmy od prostszego czyli formularza kontaktowego. Użytkownik korzystając z niego są zobligowani do wypełnienia dwóch pól (adres e-mail i treść wiadomości), a pozostałe dwa (imię i tytuł wiadomości) nie są obowiązkowe. Wszystkie te pola są agregowane w bazie, a więc stanowią dane, które zbieram. Jednakże trzeba przyznać, iż żadna z tych informacji nie może być raczej uważana za krytyczne dane osobowe. Może jedynie adres e-mail i/lub o ile ktoś poda swoje pełne imię i nazwisko, ale chciałbym zauważyć, iż te pola mogą być wypełnione czymkolwiek, a e-mail i tak zostanie do mnie dostarczony, co najwyżej nie będę miał możliwości odpisania na niego, gdy podany adres będzie wymyślony. Niemniej jednak informację o tym, iż te dane są zbierane należy zawrzeć w swojej polityce prywatności.
W przypadku systemu komentarzy sytuacja wygląda podobnie, a pozornie wygląda na choćby łatwiejszą, bo użytkownik podczas dodawania komentarza podaje mniej danych – treść komentarza, imię i adres e-mail. Celowo użyłem słowa pozornie, bo w praktyce jest to znacznie bardziej skomplikowane. Wszystko za sprawą tego, iż domyślnie po podaniu adresu e-mail przez użytkownika jest on wysyłany do serwera WordPressa, który dalej podaje ten adres do Gravatar, czyli kolejnego narzędzia od Automattic (twórców WordPress). Podany przez użytkownika adres e-mail jest przekazywany w celu pobrania zdjęcia profilowego danego użytkownika, które zostanie wyświetlone po dodaniu komentarza. Oczywiście o ile dany adres powiązany jest z jakimś kontem Gravatar. Tak więc mamy dwie opcje. Pierwsza z nich to napisać w swojej polityce prywatności, iż obiektem przetwarzania jest adres e-mail, który przekazywany jest do podmiotów trzecich i wskazać jakie to konkretnie podmioty – Automattic, a konkretnie WordPress i Gravatar. Ja jednak wybrałem opcję drugą, która może nieco odbiera uroku, ale jest na pewno lepsza dla prywatności osób komentujących mojego bloga, czyli wyłączyłem całkowicie obsługę Gravatar i w takim wypadku nie przekazuję nigdzie dalej tego adresu, więc nie muszę pisać, iż komukolwiek wysyłam adres, a jedynie, iż przechowuję go w mojej bazie danych jako nieodłączną część komentarza. WordPress z automatu zachowuje też adres IP osoby dodającej komentarz, więc o tym również trzeba napisać.
Po przeprowadzeniu powyższych działań ponownie skorzystałem z wtyczki Rentgen i tym razem osiągnąłem stan idealny, który chciałbym widzieć na wszystkich stronach w Internecie, a nie tylko na swojej.
Teraz z czystym sumieniem mogę napisać, iż moja strona nie używa ciasteczek (cookies) i nie przesyła żadnych danych do domen podmiotów trzecich. Jednak to nie kończy tematu, bo w dalszym ciągu na moim serwerze przechowywane i przetwarzane są dane. Podsumujmy zatem ten rozdział. Mój blog zbiera następujące dane Czytelników:
- adres e-mail (podczas korzystania z formularza kontaktowego lub komentowania),
- imię (podczas korzystania z formularza kontaktowego lub komentowania),
- adres IP (podczas komentowania),
- treść komentarza,
- tytuł wiadomości formularza kontaktowego,
- treść wiadomości formularza kontaktowego,
- w pełni zanonimizowane informacje statystyczne (liczba odsłon z podziałem na podstrony, medium odsyłające, czas spędzony na stronie).
Nie jestem pewien czy istnieje konieczność pisania o tym ostatnim (zanonimizowane informacje statystyczne), jednak na pewno nie zaszkodzi o tym wspomnieć na rzecz pełnej transparentności.
3. Dlaczego
W poprzednim rozdziale wskazaliśmy jakie dane są zbierane, a teraz trzeba to uzasadnić. Istotne jest to, żeby wykazać, tutaj zacytuję ustawę, prawnie uzasadniony interes administratora. W przypadku mojego bloga sprawa jest dość prosta i to dlaczego zbieram dane wykazałem już w poprzednim rozdziale. Zbieram dane na użytek:
- formularza kontaktowego – umożliwiając w ten sposób Czytelnikom możliwość podjęcia kontaktu bezpośredniego ze mną,
- systemu komentarzy – umożliwiając w ten sposób Czytelnikom możliwość wyrażenia publicznie swojej opinii na temat tworzonych przeze mnie treści,
- statystyki – umożliwiając sobie możliwość analizy popularności wpisów, aby prawidłowo dobierać tematykę w przyszłości.
Na koniec trzeba dorzucić jeszcze krótki zapis, który prawie w całości wziąłem z Internetu, a mówi on o tym, iż dane przetwarzane są do momentu cofnięcia zgody przez użytkownika oraz są przetwarzane zgodnie z prawem, do wskazanych celów, które są w pełni uzasadnione, i nie dłużej niż jest to konieczne.
4. Gdzie
W tym rozdziale istotne jest wskazanie konkretnego miejsca, w którym przechowywane (i przetwarzane) są wcześniej wskazane dane. Dodatkowo o ile istnieją ich dowolne kopie (np. backupy) to dobrą praktyką jest wskazanie również ich miejsca przechowywania. Warto zwrócić uwagę, iż często bywa tak, iż siedziba firmy (lub adres pod jakim została zgłoszona) jest w innym miejscu niż serwerownia obsługująca jej infrastrukturę. Tak właśnie jest w moim przypadku.
Dostawcą hostingu, na którym uruchomiony jest ten blog, jest ABC Hosting Ltd. (znany bardziej pod nazwą domeny CBA.pl), ale cała infrastruktura uruchomiona jest w serwerowni firmy LeaseWeb Netherlands B.V. zlokalizowanej pod adresem Hessenbergweg 95 1101 CX, Amsterdam, Holandia, a więc na terenie Unii Europejskiej. Jest to bardzo istotne, aby wszelkie dane były przechowywane i przetwarzane w obrębie UE, gdyż wtedy obowiązują europejskie przepisy GDPR. Wiadomo, iż optymalnie dla polskiej strony byłoby mieć wszystko zlokalizowane w Polsce, jednak zamknięcie się w UE też jest w porządku, bo przepisy są tożsame.
5. Komu
Ciężko o prostszą sytuację niż w moim przypadku, gdyż dane przetwarzane na tym blogu nie są udostępniane osobom trzecim i nie opuszczają serwera, na którym są przechowywane. Jednakże jeżeli w przypadku Twojej strony dane te są jednak udostępniane osobom trzecim to należy to tutaj wskazać. Dla przykładu, gdybym nie zrezygnował z używania Gravatara to musiałbym w tym rozdziale napisać, iż dane takie jak adres e-mail są przekazywane do Automattic za pośrednictwem domeny wp.com i wszystkich jej subdomen, co oznacza przetwarzanie ich nie tylko poza serwerem zarządzanym przez administratora, ale także poza infrastrukturą dostawcy hostingu, na której ten blog jest uruchomiony.
6. Jaką (kontrolę ma użytkownik)
Ostatni rozdział, w którym należy zawrzeć w zasadzie gotową formułkę informującą jakie roszczenia może mieć użytkownik. Chodzi o to, iż RODO/GDPR ustawowo nakłada na każdego administratora trzy podstawowe obowiązki:
- dać każdemu użytkownikowi, który wystąpi o to, możliwość wglądu w treść zebranych danych osobowych na jego temat,
- dać możliwość ich sprostowania,
- dać możliwość usunięcia i co za tym idzie zaprzestania dalszego przetwarzania danych osobowych użytkownika, który tego zażąda.
Powyższe żądania muszą być zgłaszane poprzez którąś z drug kontaktu z administratorem wskazanych w rozdziale pierwszym.
To wszystko!
Teraz proponuję zajrzeć do treści polityki prywatności jaką napisałem dla tego bloga. Jest ona dostępna tutaj. Czy było to trudne? Nie wydaje mi się. Czy taka forma jest bardziej przyjazna niż większość polityk prywatności, które widziałem? Zdecydowanie. Czy polityka prywatności w takiej formie jest mniej wartościowa? Nie wydaje mi się, gdyż zawarte w niej zostały wszystkie najważniejsze informacje.
Uznaję to za sukces. Cieszę się, iż w końcu napisałem politykę prywatności dla mojego bloga. Sprawiła mi euforia również możliwość podzielenia się przebiegiem tego całego procesu. Mam także nadzieję, iż treści tego typu kogoś zainteresują, pomogą i pokażą, iż RODO/GDPR to wcale nie jest zła rzecz. Gdy przepisy RODO/GDPR wchodziły w życie to każdy przewracał oczami i mówił, iż to tylko kolejne martwe przepisy, które będą na pewno służyć korporacjom. Okazuje się jednak, iż jest zupełnie odwrotnie, co doskonale pokazują kary nałożone na podmioty, które nie szanują (z niedbalstwa lub celowo) prywatności swoich użytkowników. Te przepisy, a także cały system z tym związany, to oręż do walki o swoje prawo do prywatności. W mojej ocenie warto je znać, wiedzieć jak z nich korzystać i nie bać się tego robić.