Szanowni Użytkownicy,

RODO czyli **Rozporządzenie o Ochronie Danych Osobowych** - celem regulacji jest zapewnienie swobodnego przepływu danych osobowych pomiędzy państwami członkowskimi, ale także wprowadzenie zasad, zgodnie z którymi przetwarzanie danych osobowych będzie ujednolicone na terenie całej Unii Europejskiej.

**Regulacja wejdzie w życie 25 maja 2018 roku.**

Uprzejmie informujemy, że zgodnie z wymogami obowiązującego od 25 maja Rozporządzenia o Ochronie Danych Osobowych (RODO) ulegnie zmianie **Regulamin Portalu Fotoferia** oraz **Polityka Prywatności.** Oba dokumenty pojawią się w najbliższym czasie, w pełni zastępując obecnie obowiązujące.

Informujemy również, że wraz z pojawieniem się nowego regulaminu portalu wszyscy użytkownicy Fotoferii zostaną poproszeni o:
1. Zapoznanie się i akceptację nowego regulaminu,
2. Zapoznanie się i akceptację nowej polityki prywatności,
3. Uzupełnienie danych osobowych (imię i nazwisko, wiek, adres email, adres korespondencyjny, numer telefonu komórkowego),
4. Wyrażanie zgody na profilowanie zgodnie z opisem w regulaminie.

Nowy regulamin wprowadzi uaktualnione regulacje związane z rozszerzeniem przez RODO definicji pojęcia danych osobowych.

Jednocześnie informujemy, że zgodnie z obowiązującym od 25 maja 2018 r. Rozporządzeniem o Ochronie Danych Osobowych (RODO), **brak wyrażenia niezbędnych akceptacji i zgód oraz nieuzupełnione dane osobowe będzie skutkował usunięciem Waszych danych z naszego systemu i tym samym likwidacją konta użytkownika.**

Ponadto zostaniecie poproszeni o **zgodę na otrzymywanie od Portalu Fotoferia informacji związanych z funkcjonowaniem portalu** na podane przez Was adresy emailowe lub numery telefonów. Brak zgody spowoduje wyłączenie Was z list adresowych przy zachowaniu pozostałych funkcji konta użytkownika.

Przepisy RODO wskazują, iż w przypadku osób niepełnoletnich osoba sprawująca władzę rodzicielską lub opiekę nad niepełnoletnim użytkownikiem Portalu musi wyrazić lub zaaprobować zgodę na uczestnictwo w portalu i przetwarzanie danych osobowych niepełnoletniego użytkownika.

W razie pytań - służymy niezbędnymi informacjami.

Z wyrazami szacunku i pozdrowieniami,
_Administracja Portalu._

Mam pytanie - po co zgoda na profilowanie? Przecież nie profilujecie na FF użytkowników.
Taka zgoda nie tylko musiałaby być całkiem dobrowolna i niekonieczna do posiadania konta, co więcej musielibyscie udostępnić możliwość łatwego cofnięcia zgody na profilowanie, czyli miejsce do zarządzania zgodami gdzieś w profilu.

[quote (lipella@2018-05-19 09:04:20)]
Mam pytanie - po co zgoda na profilowanie? Przecież nie profilujecie na FF użytkowników.
Taka zgoda nie tylko musiałaby być całkiem dobrowolna i niekonieczna do posiadania konta, co więcej musielibyscie udostępnić możliwość łatwego cofnięcia zgody na profilowanie, czyli miejsce do zarządzania zgodami gdzieś w profilu. [/quote]

Takie cofnięcie zgody równoznaczne będzie z kasacją konta, bo to będzie zawarte w polityce prywatności. Nie zgadzasz się - nie możesz mieć konta. Więc po co "łatwe cofnięcie zgody", wystarczy napisać na maila...Ja też uważam, że tu nie ma profilowania, ale się nie znam...

Do tego wchodząc na inne portale nie widzę rozbicia zgód, jest jedna zgoda na politykę prywatności.

W przypadku Fotoferii większość rzeczy jest jasna, portal nigdy nie udostępniał, sprzedawał, rozdawał, oddawał danych osobowych. I nie będzie. I z nikim nie współpracuje w tym przypadku.

Jedynym wyjątkiem może być konkurs pod patronatem organizacji PSA czy FIAP, gdzie rozsyłane są raporty. W tych raportach należy umieścić niektóre z danych osobowych, ale nie podaje się żadnych danych kontaktowych (przynajmniej ja tego nie zrobię) i dotyczy to tylko bazy osobowej konkursu. Album też można potraktować jako udostępnianie danych osobowych, wiele rzeczy można. A jak cofnąć zgodę na przetwarzanie w albumie? Mazakiem?

Wiadomości email są rozsyłane kilka razy w roku i to na temat konkursów, w większości używamy wewnętrznej skrzynki portalowej.

W tej chwili na portalu nie ma reklam, jeśli będą to tylko Adsense z Google.

No właśnie, że RODO wymaga żeby zgody były rozbite.
Czym innym jest zgoda na regulamin - ona jest obowiązkowa i jak się na niego nie zgadzasz, to umowa nie zostaje zawarta i nie ma podstaw prawnych do przetwarzania danych osobowych.
Czym innym są zgody na marketing i profilowanie. Te muszą być dobrowolne i nie są konieczne do posiadania konta - nawet nie powinny być. Co więcej - jeśli się je zbiera - to trzeba umożliwić użytkownikom wypisanie z nich, tzw. opcja opt-out. Ma być ona równie szybka i prosta jak "opt-in".
Co do wyświetlania reklam to interpretacje na chwile obecną są różne - jedni eksperci twierdzą, że do samego wyświetlania trzeba mieć zgody, inni twierdzą, że do tego wystarczy polityka cookies, w której portal zawiera informacje o cookiesach i retargetingu i , że wtedy użytkownik używając portalu zgadza się na tę politykę już przez samo używanie.
Wszystko się pewnie zacznie wyjaśniać za 2-3 miesiące jak pójdą pierwsze ostrzeżenia.

Wg. art. 4 pkt 4 RODO, definicja profilowania to:

_(...) dowolna forma zautomatyzowanego przetwarzania danych (...) do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się (...)_

Tak sformułowana definicja pozostawia pole do interpretacji, w ogólności za profilowanie może zostać uznana każda forma różnicowania i segmentacji użytkowników, a to na Fotoferii ma miejsce, chociaż nie jest wykorzystywane do celów komercyjnych.

W szczególności za profilowanie, wg. opinii większości prawników z którymi rozmawiałem, może (choć nie musi) zostać uznany system statusów na portalu. Ponieważ jest to jeden z istotnych mechanizmów funkcjonowania serwisu, zgoda na profilowanie musi (powinna) być wyłączona z ogólnej polityki prywatności. W przypadku Fotoferii, praktyczną implikacją dla użytkowników, którzy nie wyrażą zgody na profilowanie, będzie wyłączenie z systemu statusów - czyli w znacznej mierze z aktywnego życia portalu.

Chcąc dmuchać na zimne i pozostać z literą prawa - poprosimy użytkowników o wyrażenie stosownej zgody, załączając jednocześnie naszą (Fotoferii) deklarację o nie wykorzystywaniu elementów profilowania do celów marketingowych i komercyjnych.

Cofnięcie zgody będzie każdorazowo możliwe, w pierwszym okresie poprzez pisemne poinformowanie administracji o takiej decyzji (RODO nie nakłada wymogu automatycznego zarządzania zgodami).

[quote (lipella@2018-05-19 10:13:12)]Czym innym są zgody na marketing i profilowanie. Te muszą być dobrowolne i nie są konieczne do posiadania konta - nawet nie powinny być. Co więcej - jeśli się je zbiera - to trzeba umożliwić użytkownikom wypisanie z nich, tzw. opcja opt-out. Ma być ona równie szybka i prosta jak "opt-in". [/quote]

No jednego dnia chcę być Art, a drugiego nikim:)

Sprawę interpretacji dodatkowo komplikuje fakt, iż w przepisach wykonawczych do GDPR (the EU's General Data Protection Regulation), są różnice pomiędzy poszczególnymi krajami członkowskimi EU...

Nie rozumiem czemu nakładacie obowiązek podawania dodatkowych danych (adres/wiek/telefon), czyli więcej informacji do ochrony.
Dyrektywa do tego zobowiązuje?

Adres mailowy, nick i haslo, nie są jeszcze danymi osobowymi i wielu userom taki stan rzeczy wystarcza do aktywnosci na portalu.

[quote (evene@2018-05-19 11:24:49)]Dyrektywa do tego zobowiązuje?[/quote]

Bezpośrednio i pośrednio - TAK.
Jeżeli potrzebujesz więcej szczegółów napisz do mnie prywatnie, nie o wszystkim chcę pisać publicznie.

[quote (evene@2018-05-19 11:24:49)]dres mailowy, nick i haslo[/quote]


A właśnie, że są...Zbieranie maili to przetwarzanie danych osobowych. Wiek jest potrzebny, a dane kontaktowe Członków Klubu są bardzo ważne.

[quote (evene@2018-05-19 11:24:49)]
Nie rozumiem czemu nakładacie obowiązek podawania dodatkowych danych (adres/wiek/telefon), czyli więcej informacji do ochrony.
Dyrektywa do tego zobowiązuje?

Adres mailowy, nick i haslo, nie są jeszcze danymi osobowymi i wielu userom taki stan rzeczy wystarcza do aktywnosci na portalu. [/quote]

Dyrektywa do tego nie zobowiązuje, a wręcz wyraźnie mówi o tym, że powinno się zbierać tylko takie informacje, które są konieczne do realizowania zapisów umowy - w przypadku fotoferii - regulaminu.
Na pewno ani imię i nazwisko, ani wiek, ani nr telefonu ani tym bardziej adres korespondencyjny nie są do tego potrzebne.
Mail i nick, haslo by do tego wystarczyły.
Dlatego też dziwi mnie, że dokładacie zbieranie dodatkowych danych, podczas gdy praktyką jest właśnie zostawianie tylko tych danych, które są konieczne.
W razie potencjalnego wycieku danych impakt będzie dużo większy niż gdyby wyciekł tylko nicki i maile.

Do czego te dane kontaktowe Członków klubu są potrzebne?

[quote (fotoferia@2018-05-19 11:12:10)]
Sprawę interpretacji dodatkowo komplikuje fakt, iż w przepisach wykonawczych do GDPR (the EU's General Data Protection Regulation), są różnice pomiędzy poszczególnymi krajami członkowskimi EU... [/quote]

Tak , to prawda. W Hiszpanii na przykład przepisy są interpretowane dużo restrykcyjniej niż na przykład we Francji czy w Polsce.

[quote (lipella@2018-05-19 12:03:05)]W razie potencjalnego wycieku danych impakt będzie dużo większy niż gdyby wyciekł tylko nicki i maile.[/quote]

Na serwerach będą wyłącznie nicki i maile, przy czym maile dodatkowo chronione (o szczegółach nie mogę pisać).
Pozostałe dane będą przechowywane offline w sejfie (a sejf nie jest w IoT:).

Wiek nie jest konieczny, wystarczy informacja o pełnoletności użytkownika.
Pozostałe informacje są konieczne z punktu widzenia GDPR i kaskadowania odpowiedzialności. Chętnie napiszę więcej w wiadomości prywatnej, jeśli jest taka potrzeba.

[quote (fotoferia@2018-05-19 12:26:59)]
[quote (lipella@2018-05-19 12:03:05)]W razie potencjalnego wycieku danych impakt będzie dużo większy niż gdyby wyciekł tylko nicki i maile. [/quote]

Na serwerach będą wyłącznie nicki i maile, przy czym maile dodatkowo chronione (o szczegółach nie mogę pisać).
Pozostałe dane będą przechowywane offline w sejfie (a sejf nie jest w IoT:).

Wiek nie jest konieczny, wystarczy informacja o pełnoletności użytkownika.
Pozostałe informacje są konieczne z punktu widzenia GDPR i kaskadowania odpowiedzialności. Chętnie napiszę więcej w wiadomości prywatnej, jeśli jest taka potrzeba. [/quote]

To ja poproszę o taką informację na PW. Podanie takiej ilości prywatnych danych mocno mnie zniechęca do uczestnictwa w klubie. Więc fajnie by było wiedzieć jakie jest uzasadnienie.