Dane użytkowników przetwarzane na portalu

Gawrion - 24 Maja, 2018 - 01:23
Obrazek użytkownika Gawrion

W sumie, zgodnie z definicją "danych osobowych" z RODO, to ja nie przetwarzam danych osobowych. Przez prawie 10 lat prowadzenia portalu na podstawie adresu mailowego, nicka, czy nawet IP, nie byłem w stanie zidentyfikować żadnego konkretnego człowieka. Wyjątek stanowią sytuacje, gdy ktoś wprowadza świadomie imię i nazwisko, czy jest bardzo znany.

Tak naprawdę jedyne dane potrzebne od Użytkownika, aby korzystać czynnie z portalu, to jego adres mailowy. 99% zebranych adresów mailowych nie stanowi danych osobowych, ponieważ nawet przy użyciu nadmiernej ilości czasu, pieniędzy i działań nie uda mi się ustalić kto jest właścicielem adresu (za wyjątkami, opisanymi tu). Nie udostępni mi tych danych ani usługodawca poczty. Nawet znając adres IP użytkownika, nie będę w stanie zidentyfikować użytkownika, ponieważ dane te należą do zakresu tajemnicy telekomunikacyjnej (i mogą być udostępnione przez dostawcę internetu jedynie prokuratorowi lub sądowi w związku z karnym postępowaniem). Wyjątkiem są adresy mailowe zawierające imię i nazwisko osoby, która jako jedyna ma takie nazwisko i imię, lub posiada adres w specyficznej domenie.

Przy wyborze nicka nie ma obowiązku podawania imienia i nazwiska - można podać tzw. anonimowy nick. To samo dotyczy treści w polach "o sobie" czy obrazka. Jeśli użytkownik decyduje się na upublicznienie swoich danych -  to robi to na swoją odpowiedzialność.

Podczas korzystania z portalu zapisywane są w logach adresy IP (w tym także użytkowników niezalogowanych) i wybrane strony.

Niniejszym spełniam obowiązek informacyjny z art. 13 RODO:

Administratorem danych osobowych użytkowników serwisu jest Gawrion - możesz z nim skontaktować się za pomocą tego formularza

Gawrion nie powoływał inspektora ochrony danych.

Cele przetwarzania danych na portalu:

  • korzystanie przez użytkownika z portalu i jego funkcjonalności - podstawa prawna: art. 6.1.b RODO
  • logowanie czynności użytkownika i archiwizowanie ich - podstawy prawne: art. 6.1.f RODO; Te dane są mi potrzebne dla debugowania (szukania błędów) działania portalu, dla zabezpieczenia serwisu na wypadek awarii, dla analizy w razie ataków DoS i innych ataków na serwis. dla zabezpieczenia swoich roszczeń i ochrony przed roszczeniami użytkowników lub osób trzecich.
  • ponadto w szczególnych sytuacjach dane osobowe mogą być przydatne dla realizacji obowiązku prawnego (np. wydana decyzja o udostępnienie danych), ochrony żywotnych interesów osoby której dane dotyczą lub innych osób (np. zabezpieczenie danych w związku z przestępstwami, do których doszło na portalu), może pomóc instytucjom powołanym dla obrony państwa i wykonywania zadań dla dobra publicznego (np. obrona przed terroryzmem i atakami hakerskimi) - czyli podstawy prawne: art. 6.1.c, 6.1.d, 6.1.e.

Odbiorcami danych mogą być sami użytkownicy, upoważnione przez nich osoby, organy państwa. Na przestrzeni 10 lat jednak dane nie były nikomu udostępniane. Nawet za czasów PO próbowała się dobierać do danych blogerów prokuratura i została odesłana przeze mnie na drzewo. Dbam o to aby nikt niepowołany takich danych nie dostał. Będę zmuszony je udostępniać tylko gdy będę do tego naprawdę zmuszony - bezwzględnymi przepisami lub decyzjami władz.

Serwer do 3 września 2021 r. działał w Kanadzie, więc od samego momentu zebrania danych dane były trzymane w Kanadzie. Kanada jest państwem, co do którego jeszcze przed GDPR Komisja Europejska stwierdziła bezpieczeństwo danych. Nie udostępniałem danych do żadnego innego państwa. Od 3 września 2021 r. dane są przetwarzane na serwerze w Polsce i nie są przekazywane poza Polskę.

W jakim okresie przechowuję dane? Adres mailowy i inne dane uzupełnione w profilu użytkownika są przetwarzane w działającej wersji portalu w całym czasie posiadania konta. W momencie usunięcia konta te dane są usuwane z wersji produkcyjnej portalu. W późniejszym czasie dane mogą znajdować się w kopii zapasowej. Kopie takie przechowuję około 3-5 lat - konkretnego okresu nie jestem w stanie podać, bo każdorazowo określam ten okres na podstawie analizy potrzeb i ryzyka związanego z portalem. Wraz z upływem czasu kopie są przerzedzane. Na produkcyjnej wersji portalu (poza backupami) logi (w tym z danymi anonimowych odwiedzających) są przechowywane przez okres zależny od ruchu na portalu (przechowywane do limitów wielkości logów) lub jest to okres od kilku dni do kilku miesięcy. Przeważnie ustawiam te wartości jako niższe ze względu na zapewnienie lepszej wydajności. Właśnie takie kryteria stosuję.

Możesz teoretycznie zażądać ode mnie dostępu do swoich danych (do adresu mailowego), ale pod warunkiem że Cię zautoryzuję właśnie za pomocą tego adresu mailowego. Czyli - aby poznać swój adres mailowy, będziesz musiał mi go podać :) Inaczej nie będę miał pewności czy Ty to Ty. Natomiast jeśli znasz swój adres mailowy to możesz zalogować się za jego pomocą i wejść w ustawienia swojego profilu i poznać swój adres mailowy oraz inne ustawienia konta - w każdej chwili. Informuję Cię o tym bo głupie RODO tego ode mnie wymaga :)

Możesz swoje dane sprostować - to znaczy, zmienić adres mailowy, zmienić opis w polach o sobie. Nicka nie można samodzielnie zmienić - dla transparentności dyskusji i ze względu na ochroną przed oszustami internetowymi (zmieniającymi nicki) robię to tylko na wniosek. 

Możesz swoje dane usunąć - ale tylko wtedy gdy nie mam żadnych innych podstaw prawnych do ich przetwarzania. Jeśli chodzi o adres mailowy - możesz go ewentualnie zamienić, bo wymagane jest podanie jakiegoś. Nicka też musisz mieć. Całkowite usunięcie danych może być rozważone dopiero w razie usunięcia konta na portalu.

Możesz ograniczyć przetwarzanie swoich danych. Co to jest? Proszę zobacz sobie w powszechnie obowiązującym RODO. W skrócie - jeśli napiszesz mi że mam ograniczyć przetwarzanie Twojego adresu mailowego, to będę mógł go tylko przechowywać. Nie będzie mógł być przetwarzany w innych celach, czyli także do autoryzacji Twojego konta. Będę więc musiał zablokować Twoje konto, aby zapewnić że Twój adres jest ograniczony do przechowywania. No chyba że zgodzisz się że mogę przetwarzać ten adres mailowy w innych celach (do obsługi konta), ale wtedy ograniczenie nie ma moim zdaniem sensu. Czyż nie durnym wymysłem jest to RODO? :)

Możesz także teoretycznie wnieść sprzeciw dotyczący przewtarzania Twoich danych - RODO przewiduje to w kilku sytuacjach - poczytaj sobie. Teoretycznie dotyczy to sytuacji przetwarzania w modelu OPT-OUT a więc w naszej sytuacji nie występuje chyba. Wolę jednak Ci o tym napisać, abyś o "sprzeciwie wiedział", bo w innej sytuacji jakiś twardogłowy urzędnik stwierdzi, że brak poinformowania Cie o tym stanowi podstawę do nałożenia na mnie kary do 10 000 000 Euro.

Co jeszcze? Durne RODO wymaga ode mnie abym umożliwił Ci przeniesienie Twoich danych. Jakbyś sobie sam nie mógł adresu mailowego gdzieś wklepać - co nie? Jeśli zwrócisz się do mnie z takim wnioskiem - to wkleję Twoje dane w powszechnie używany format pliku - np. excel lub csv - i wyślę Ci to na maila. Co za durność nad durnościami!

Jeśli przetwarzam Twoje dane na podstawie zgody - a tak nie jest, bo aby korzystać z portalu musisz podać mi maila - to wiedz że możesz zgodę cofnąć w dowolnym momencie, bez wpływu na zgodność przetwarzania przeze mnie danych z prawem, którego dokonałem przed cofnięciem Twojej zgody. To jest przecież tak oczywiste (skoro się zgadzałeś to czasu nie cofnę) ale RODO każe mi traktować Cię jak durnia, za co Cię najmocniej przepraszam!

Co jeszcze? Aha - możesz wnieść na mnie skargę do organu nadzorczego. Zanim to zrobisz to napisz do mnie ;) RODO jest jeszcze lepsze jeśli chodzi o donoszenie na ludzi przez ludzi - jeśli coś złego stanie się z Twoimi danymi to RODO wymaga ode mnie abym sam na siebie doniósł ;)

RODO wymaga ode mnie jeszcze abym podał Ci "informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych".
Odpowiadam - podanie mi Twoich danych nie jest wymogiem ustawowym - bynajmniej nie znam takiej ustawy. Podanie adresu mailowego jest warunkiem umownym i warunkiem zawarcia umowy na bezpłatne posiadanie konta w tym serwisie. Pamiętaj jednak że możesz wybrać adres mailowy, który nie będzie dla nikogo daną osobową (np. nikomunigdynieznanymail@wp.pl) oraz możesz użyć pseudonimu zamiast imienia i nazwiska. Jeśli nie podasz mi adresu mailowego i nie wypełnisz formularza rejestracyjnego, to niestety nie dostąpisz zaszczytu posiadania konta na Niepoprawnych. Przykro mi.

Jeszcze chciałbym Cię poinformować, że żaden mój automat nie profiluje Cię Tu i nie podejmuje w ramach tego profilowania decyzji, która wywoływałaby wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływała.

Uff - to chyba wszystko co zostało zawarte w tym durnym art. 13 RODO. Mam nadzieję że użyłem języka prostego i zrozumiałego. Portal jest dedykowany dla niedebili, więc zakładam że zrozumiałeś. Gdyby było inaczej - pisz proszę do mnie.

Jeszcze jedno - jeśli któryś z użytkowników postanowi wykorzystać jakieś dane osobowe (np. w swoim artykule), to ja nie mam nic do tego. Nie będę badał czy ma na to zgodę czy inną podstawę prawną. RODO nie dotyczy wprawdzie działalności dziennikarskiej czy artystycznej - nie powinny być chronione przez RODO osoby publiczne, a w szczególności te, które powinny być wytykane palcem za swoje niecne postępowanie, ale różnie to może być z urzędasami. Kilka lat temu dostałem decyzję GIODO aby usunąć z artykułu dane przestępcy z partii PO - uznano mnie za administratora danych. Musiałem dokonać literalnej wykładni ustawy by udowodnić, że nie mam garbów i administratorem nie jestem. Chyba pomogło, bo odwołałem się i ostatecznej decyzji nie mam do dziś. 

Ciasteczka

Jeszcze trochę o ciasteczkach. Ta strona wykorzystuje ciasteczka i podobne technologie, których skutkiem jest zapis krótkich informacji na Twoim komputerze, w przeglądarce. Celem ciasteczek jest usprawnienie i umożliwienie działania serwisu. W ciasteczkach są zapisywane np. dane dotyczące sesji po zalogowaniu i inne informacje oraz preferencje. Każda nowoczesna przeglądarka umożliwia zarządzanie ciasteczkami. Ciasteczka z reguły nie są danymi osobowymi. Ciasteczka mogą pochodzić ode mnie lub od zewnętrznych serwisów zintegrowanych z moim serwisem.