Pod koniec maja 2018 roku weszło w życie nowe unijne rozporządzenie o ochronie danych osobowych (RODO). To nowe zasady dla każdego, kto na terenie UE zbiera dane osobowe, takie jak adresy e-mail, adresy IP itp.

Czy to znaczy, że nowe przepisy dotyczą też blogerów? Tak, bez wyjątku.

„Podobno będę musiał wysłać wszystkim czytelnikom ponowny e-mail, żeby zapisali się na listę mailingową? I podobno nie mogę zbierać cookies?!”

Internet pełen jest takich apokaliptycznych scenariuszy, a tymczasem RODO nie jest niczym strasznym. Trzeba się przez to po prostu przegryźć. Przygotowaliśmy dla Ciebie przewodnik, co i jak zmienić na blogu, żeby spełniać nowe przepisy. Podpowiemy też, co zrobić z dotychczasowymi subskrybentami na listach e-mailowych.

UWAGA. Nie jesteśmy prawnikami ani ekspertami od danych osobowych. Wszystko, co tu znajdziesz, to wyłącznie nasza interpretacja rozporządzenia RODO z perspektywy blogera. Przy zbieraniu informacji opieraliśmy się na samym rozporządzeniu oraz na tym, jak z tematem poradzili sobie inni. Przeanalizowaliśmy sposób, w jaki RODO wdrożyło wielu polskich blogerów i sprzedawców internetowych. Nie traktuj tego artykułu jak wyroczni, lecz raczej jako wskazówkę, jak poradzić sobie z RODO w Twoim konkretnym przypadku. Dzięki, zaczynamy!

Zadaniem RODO jest przekazanie użytkownikowi (w przypadku blogera – czytelnikowi) większej kontroli nad jego danymi. Im bardziej transparentnie będziesz przetwarzał dane i im więcej kontroli dasz czytelnikom, tym większa szansa, że spełnisz wszystkie warunki.

Jakie dane zbieramy od czytelników jako blogerzy

Przetwarzanie danych oznacza wszelkie dane o użytkownikach, które zbierasz, oraz sposoby, w jakie z nimi postępujesz. Dane osobowe to informacje, za pomocą których możesz bezpośrednio lub pośrednio zidentyfikować czytelnika. Są to imiona i nazwiska, adresy, numery telefonów, adresy e-mail, ale też adresy IP i inne identyfikatory. Jeśli więc robisz lub masz na blogu cokolwiek z poniższej listy, RODO Cię dotyczy:

• Zbierasz adresy e-mail – np. wysyłasz newslettery
• Masz włączone komentarze pod artykułami (zwłaszcza WordPress)
• Śledzisz zachowanie użytkowników, np. przez Google Analytics
• Masz na blogu formularz kontaktowy
• Używasz wtyczek zbierających dane o użytkownikach
• Organizujesz konkursy i giveawaye

#1 Używaj checkboxów (lub innej formy zgody) za każdym razem, gdy czytelnik (użytkownik) przekazuje Ci swoje dane

Za każdym razem, gdy pozyskujesz od czytelnika dane osobowe, musisz robić to za jego wyraźną zgodą. Przy przekazywaniu danych musi być też jasne, do czego będziesz ich używał. Jeśli więc czytelnik podaje Ci e-mail, żebyś wysyłał mu nowości, musi wyraźnie potwierdzić, że chce je od Ciebie otrzymywać.

Najprostszym rozwiązaniem jest dodanie checkboxa, którym czytelnik udzieli wyraźnej zgody. To podejście jest nieco toporne, ale chroni Cię na wszystkich frontach. U nas na Loudavým Krokem wygląda to tak:

Drugą opcją jest wbudowanie zgody bezpośrednio w przycisk. Na przykład przy zapisywaniu się na kurs, potwierdzasz zgodę poprzez kliknięcie przycisku rejestracji.

WZÓR TEKSTU

Żeby ułatwić Ci sprawę, przygotowaliśmy wzorcowy tekst. Kropki zastąp listą treści, które będziesz wysyłać czytelnikom na e-mail, a ostatnie zdanie podlinkuj do swoich zasad przetwarzania danych osobowych. (Wzór zasad pobierzesz za chwilę)

WZORCOWY TEKST DO ZGODY: Klikając przycisk „Wyrażam zgodę…”, zgadzasz się na otrzymywanie od nas wiadomości dotyczących …………… Jeśli w dowolnym momencie zechcesz zrezygnować z subskrypcji, możesz to zrobić za pomocą linku wypisania znajdującego się w każdym e-mailu. Więcej informacji o naszych zasadach przetwarzania danych osobowych znajdziesz tutaj.

Jeśli korzystasz z klasycznych formularzy WordPressa, wystarczy zainstalować wtyczkę WP GDPR Compliance. Jeśli zbierasz e-maile przez Mailchimp, ConvertKit lub inne podobne serwisy, rozwiązanie znajdziesz bezpośrednio na ich platformach.

Plan działania jest prosty: musisz mieć dla każdego czytelnika zapis tego, jak i kiedy udzielił Ci zgody na wysyłanie e-maili.

#2 Jeśli chcesz mieć pełne pokrycie, stosuj double opt-in, czyli potwierdzenie zgody

Choć RODO tego wprost nie wymaga, warto korzystać z podwójnego opt-inu. Po tym, jak ktoś zapisze się do newslettera lub na kurs, wysyłamy mu e-mailem dodatkowy przycisk, którym potwierdza, że naprawdę chce od nas otrzymywać wiadomości. Jeśli nie potwierdzi, nie dodajemy go do listy mailingowej. Po co to robić?

• Podwójna zgoda na wysyłanie wiadomości
• Mamy pewność, że czytelnik naprawdę jest zainteresowany naszymi treściami
• Jeśli ktoś wpisał błędny adres e-mail, nie trafia on bezużytecznie do naszej bazy

Tak wygląda e-mail z double opt-inem:

Dopiero po kliknięciu czerwonego przycisku adres e-mail trafia do bazy danych i uruchamia się sekwencja e-mailowa. Dane osobowe użytkowników, którzy nie udzielili zgody, musisz bez zbędnej zwłoki usunąć z bazy.

3# Przygotuj Politykę Prywatności zgodną z RODO i umieść ją na stronie

Tworzenie Polityki Prywatności to rzecz, której ludzie boją się najbardziej. Ale nie Ty, bo przygotowaliśmy dla Ciebie szablon – wystarczy go uzupełnić o własne dane. Tak wygląda nasza. Politykę Prywatności musisz stworzyć dla każdego prowadzonego bloga i umieścić ją w menu – może być w rozwijanym podmenu. Co powinno znaleźć się w Polityce Prywatności:

• Kto został wyznaczony jako administrator danych osobowych
• Jakie dane przetwarzasz i w jakim celu
• Komu przekazujesz dane dalej
• W jaki sposób chronisz dane
• Prawa czytelników

We wzorcowym dokumencie zaznaczyliśmy, gdzie należy wpisać własne informacje, a w komentarzach wyjaśniliśmy, co tam wpisać. 🙂

#4 Poinformuj obecnych subskrybentów, że spełniasz wymogi RODO, lub poproś o zgodę

I tu zaczyna się prawdziwe wyzwanie. Prawdopodobnie masz w bazie dziesiątki, setki, a może nawet tysiące adresów e-mail. Co teraz z nimi zrobić? Czy powinieneś wysłać do wszystkich ponowny formularz rejestracyjny, żeby kliknęli potwierdzenie zgody? Czy możesz zostawić wszystko jak jest?

To zależy od tego, jak do tej pory zbierałeś adresy e-mail.

1. E-maile zbierałeś w określonym celu i dotrzymujesz słowa

Jeśli do tej pory zbierałeś adresy e-mail w sposób zgodny z wymogami RODO, nie musisz ponownie prosić o zgodę. Zbieranie zgodne z RODO oznacza, że potrafisz udokumentować, kiedy, jak i w jakim celu czytelnik udzielił Ci zgody i podał swój adres e-mail.

W takim przypadku wystarczy, że poinformujesz obecnych subskrybentów o:

• Jak pozyskałeś ich dane (gdzie się rejestrowali)
• Do czego używasz ich danych (co im wysyłasz)
• Tym, że od teraz przetwarzasz dane zgodnie z RODO
• Jak mogą wypisać się z subskrypcji

My zrobiliśmy to w ten sposób:

1. E-maile zbierałeś przez ogólne formularze (lub w inny sposób), albo wysyłasz też treści, na których odbiór czytelnik się nie zapisał, albo przy zbieraniu nie spełniłeś innych wymagań

Jeśli masz nieco nieczyste sumienie, bo adresy e-mail w Twojej bazie zebrałeś bez wyraźnej zgody lub wysyłasz różnorodne wiadomości do całej bazy, będziesz musiał uzyskać wyraźną zgodę od każdego czytelnika. Oczywiście – jeśli chcesz to kontynuować.

To był też nasz przypadek – na Loudavým Krokem zbieraliśmy e-maile głównie przez konkursy i podróżnicze giveawaye i nigdy wprost nie informowaliśmy czytelników, że uczestnicząc w konkursie, zapisują się również do newslettera. Poprosiliśmy ich więc o zgodę na wysyłanie wszystkich treści, które planowaliśmy im przesyłać:

Po kliknięciu w link trafiają na stronę, gdzie muszą zaznaczyć, że wyraźnie wyrażają zgodę na wysyłanie wiadomości.

#5 Jeśli taggujesz czytelników i zbierasz e-maile z wielu formularzy, przemyśl strukturę

Wdrożenie RODO w naszą strukturę formularzy nie było łatwe, bo korzystamy z ich bardzo wielu. Mamy kilka kategorii zainteresowań, do których czytelnicy mogą się zapisywać, i stopniowo oznaczamy wszystkich subskrybentów tagami (etykietami), według których wysyłamy im dopasowane treści.

Jednych interesują kryptowaluty, innych marketing internetowy lub biznes online. Jeśli ktoś zapisze się na kurs o kryptowalutach, zgodnie z RODO nie możemy mu wysłać np. artykułu o promowaniu bloga na Instagramie. Dlatego ważne jest śledzenie, kto udzielił jakiej zgody. Polecamy narysować sobie mapę, w której łatwo się zorientujesz. Tak wygląda nasza:

Jak widać, dodaliśmy RODO double opt-iny do wszystkich formularzy wejściowych, przez które czytelnik może zapisać się do naszej bazy e-mailowej.

#6 „Uzasadniony interes” i jak z nim pracować

W ramach RODO funkcjonuje pojęcie „uzasadnionego interesu”, które stanowi wyjątek pozwalający na wysyłanie e-maili bez wyraźnej zgody.

Jeśli ktoś kupi u Ciebie na przykład podróżniczy kubek, możesz zasadnie przyjąć, że będzie zainteresowany nowościami z Twojego sklepu i dodać go do newslettera. Jest to uzasadniony interes w przypadku marketingu bezpośredniego.

Zachowaj jednak ostrożność w kwestii uzasadnionego interesu – jego definicja jest dość ogólna i naszym zdaniem lepiej stosować go jak najrzadziej, a zgodę na wysyłanie wiadomości uzyskiwać wprost.

#7 Korzystanie z cookies i narzędzi takich jak Google Analytics

Jeśli używasz narzędzi analitycznych do śledzenia ruchu na blogu, takich jak Google Analytics, RODO dotyczy Cię również w tym zakresie.

Gdy czytelnik po raz pierwszy odwiedza Twoją stronę, Google Analytics zapisuje w jego przeglądarce pliki cookies, które pomagają Google śledzić zachowanie użytkownika. Cookies zbierają dane osobowe w formie identyfikatorów, które potencjalnie mogą służyć do pośredniej identyfikacji osoby.

Z tego powodu musisz poinformować użytkowników o tym, że zbierasz cookies. Co więcej – muszą też wiedzieć, jakie dane zbierasz, do czego je wykorzystujesz i jak mogą się pozbyć plików cookies.

Najprostszym sposobem jest użycie wtyczki (jeśli korzystasz z WordPressa):

• Cookie Law / GDPR Info

Informację o cookies musisz też umieścić w swojej Polityce Prywatności.

#8 Czytelnicy mogą zażądać wszystkich informacji, które o nich przetwarzasz

Użytkownicy mają na mocy RODO „prawo dostępu” do informacji, które na ich temat posiadasz.

Upewnij się więc, że masz dostęp do takich informacji. Nie tylko będziesz musiał być w stanie wyeksportować logi dotyczące tego, kiedy i jak użytkownik się zarejestrował oraz jakie e-maile mu wysłałeś, ale też informacje o jego zachowaniu na stronie, na przykład właśnie z Google Analytics.

Na szczęście Google przygotowało narzędzia, z których możesz skorzystać, w tym możliwość usunięcia zebranych danych dotyczących dowolnego użytkownika.

Podsumowanie

RODO nie jest tak straszne, jak wygląda. Nam wdrożenie go wręcz pomogło w uporządkowaniu baz e-mailowych, poprawieniu ich bezpieczeństwa i wyczyszczeniu nieaktywnych subskrybentów.

Jakie kroki powinieneś podjąć, żeby spełniać wymogi RODO?

• Przygotować Politykę Prywatności
• Mieć dla każdego kontaktu wyraźną zgodę na przetwarzanie danych w konkretnym celu
• Być w stanie udokumentować, kiedy i jak czytelnik udzielił zgody
• Zawrzeć w Polityce Prywatności informacje o innych podmiotach przetwarzających dane

Przygotowany przez nas wzór, który pomoże Ci stworzyć dokumentację RODO

Informacji, które zbieraliśmy przez długie godziny, nie chcemy zatrzymywać dla siebie. Przygotowaliśmy szczegółowy dokument ze wzorem Polityki Prywatności zgodnej z RODO – wystarczy go wypełnić i gotowe. Jest pełen komentarzy i objaśnień, więc nawet początkujący blogger się nie pogubi. 👇

UWAGA. Nie jesteśmy prawnikami ani ekspertami od danych osobowych. Wszystko, co tu znajdziesz, to wyłącznie nasza interpretacja rozporządzenia RODO z perspektywy blogera. Przy zbieraniu informacji opieraliśmy się na samym rozporządzeniu oraz na tym, jak z tematem poradzili sobie inni. Przeanalizowaliśmy sposób, w jaki RODO wdrożyło wielu polskich blogerów i sprzedawców internetowych. Nie traktuj tego artykułu jak wyroczni, lecz raczej jako wskazówkę, jak poradzić sobie z RODO w Twoim konkretnym przypadku.