Compliance · RODO

RODO dla serwisów prasowych: lista kontrolna wydawcy.

Ostatnia aktualizacja: 6 maja 2026 · Wszystkie twierdzenia oparte na Rozporządzeniu (UE) 2016/679 (RODO), wytycznych CNIL oraz wytycznych EROD.

Czym jest RODO, w jednym akapicie

Ogólne rozporządzenie o ochronie danych (Rozporządzenie (UE) 2016/679) ustanawia ramy prawne przetwarzania danych osobowych osób zamieszkałych w UE. Ma ono zastosowanie niezależnie od tego, gdzie administrator lub podmiot przetwarzający ma siedzibę, o ile przetwarzanie wiąże się z oferowaniem towarów lub usług osobom w UE albo z monitorowaniem ich zachowania (art. 3 ust. 2). Dla serwisów prasowych prowadzących partycypację czytelników oznacza to, że każde konto czytelnika, każdy anonimowy komentarz powiązany z adresem IP, każdy zapis na newsletter, każda reakcja na artykuł podlega RODO.

Co jest danymi osobowymi na stronie prasowej

RODO definiuje dane osobowe niezwykle szeroko (art. 4 pkt 1): wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Dla serwisu prasowego obejmuje to:

  • Dane konta czytelnika: imię i nazwisko, adres e-mail, hasz hasła, zdjęcie profilowe, biografia
  • Dane o zaangażowaniu: komentarze, głosy, polubienia, udostępnienia, czas spędzony na artykułach
  • Dane techniczne: adresy IP, odciski urządzeń, identyfikatory przeglądarki, pliki cookie sesji
  • Dane wywnioskowane: tagi zainteresowań wyprowadzone z zachowań czytelniczych, wyniki scoringu audytorium
  • Dane subskrypcji i płatności, w stosownych przypadkach

Sześć podstaw prawnych (art. 6)

Dane osobowe możesz przetwarzać wyłącznie wtedy, gdy możesz oprzeć się na co najmniej jednej z sześciu podstaw prawnych wymienionych w art. 6:

  • Zgoda (6 ust. 1 lit. a), wyraźna, granularna, możliwa do wycofania. Stosowana do marketingu, profilowania, danych opcjonalnych.
  • Umowa (6 ust. 1 lit. b), niezbędna do świadczenia usługi, na którą użytkownik się zapisał. Stosowana do tworzenia konta, obsługi subskrypcji.
  • Obowiązek prawny (6 ust. 1 lit. c), niezbędny do spełnienia wymogu prawa (np. obowiązki dotyczące przechowywania).
  • Żywotne interesy (6 ust. 1 lit. d), rzadko mają zastosowanie do wydawców.
  • Interes publiczny (6 ust. 1 lit. e), przede wszystkim dla sektora publicznego / mediów publicznych.
  • Prawnie uzasadniony interes (6 ust. 1 lit. f), twój interes wyważony względem praw użytkownika. Stosowany do zapobiegania nadużyciom, anonimowej analityki, bezpieczeństwa.

W przypadku komentarzy i partycypacji czytelników najczęstszym połączeniem jest umowa (świadczysz usługę uczestnictwa, na którą użytkownik się zdecydował) plus prawnie uzasadniony interes (bezpieczeństwo, ochrona przed spamem, przeciwdziałanie nadużyciom).

Osiem praw czytelnika (art. 12–22)

Musisz umożliwić użytkownikowi skorzystanie z poniższych praw, prostym językiem i w ciągu jednego miesiąca (art. 12 ust. 3):

  • Prawo dostępu (art. 15) — użytkownik może poprosić o kopię wszystkich danych, które o nim przechowujesz
  • Prawo do sprostowania (art. 16) — poprawienie nieprawidłowych danych
  • Prawo do usunięcia / prawo do bycia zapomnianym (art. 17) — usunięcie danych, gdy nie ma uzasadnionej podstawy do ich zachowania
  • Prawo do ograniczenia (art. 18) — ograniczenie przetwarzania w określonych okolicznościach
  • Prawo do przenoszenia danych (art. 20) — eksport ustrukturyzowanych danych w celu zmiany usługi
  • Prawo do sprzeciwu (art. 21) — rezygnacja z przetwarzania opartego na prawnie uzasadnionym interesie
  • Prawo do niepodlegania w pełni zautomatyzowanym decyzjom (art. 22)
  • Prawo do wniesienia skargi do organu nadzorczego (art. 77) — we Francji jest to CNIL

Transfery międzynarodowe (rozdział V)

Jeśli twój system komentarzy lub baza czytelników są hostowane poza UE, RODO wymaga zabezpieczeń na mocy art. 44–50. Po wyroku Schrems II (TSUE, 16 lipca 2020 r.) transfery do Stanów Zjednoczonych opierają się na unijno-amerykańskich Ramach Ochrony Danych (obowiązujących od lipca 2023 r.), przy czym EROD często wymaga dodatkowych środków uzupełniających. Wielu wydawców uznaje za prostsze całkowite zatrzymanie danych w UE.

Role: kto jest administratorem, a kto podmiotem przetwarzającym

W przypadku danych czytelników twojego serwisu prasowego:

  • Ty (wydawca) jesteś administratorem — decydujesz, dlaczego i w jaki sposób dane są przetwarzane (art. 4 pkt 7).
  • Twój system komentarzy / narzędzie moderacji (Logora, Disqus, Viafoura itp.) jest zazwyczaj podmiotem przetwarzającym — przetwarza dane w twoim imieniu, zgodnie z instrukcjami zawartymi w umowie powierzenia przetwarzania danych (art. 28).

Umowa powierzenia jest obowiązkowa na mocy art. 28 ust. 3. Musi ona określać przedmiot, czas trwania, charakter, cel, rodzaje danych, kategorie osób, których dane dotyczą, a także twoje obowiązki i prawa jako administratora. Bez podpisanej umowy powierzenia nie możesz zgodnie z prawem korzystać z zewnętrznego podmiotu przetwarzającego dane osobowe.

Co to oznacza w praktyce dla działania wydawcy

  • Polityka prywatności na twojej stronie, prostym językiem, wymieniająca każdą czynność przetwarzania (art. 13–14)
  • Baner cookie tylko gdy jest wymagany — pliki cookie nieśledzące i nieprofilujące są zwolnione (wytyczne CNIL dotyczące dyrektywy ePrivacy)
  • Podpisane umowy powierzenia z każdym zewnętrznym podmiotem przetwarzającym: system komentarzy, narzędzie moderacji, analityka, technologia reklamowa, usługa e-mail
  • Rejestr czynności przetwarzania (art. 30) — wewnętrzny rejestr wymieniający wszystkie czynności przetwarzania
  • Wyznaczenie inspektora ochrony danych (art. 37), jeśli prowadzisz przetwarzanie na dużą skalę lub systematyczne monitorowanie
  • Zgłoszenie naruszenia ochrony danych w ciągu 72 godzin do organu (art. 33) oraz do dotkniętych użytkowników, gdy występuje wysokie ryzyko

Jak radzi sobie z tym Logora

  • Umowa powierzenia przetwarzania danych podpisana z każdym klientem, skonstruowana zgodnie z art. 28 ust. 3
  • Hosting wyłącznie w UE na OVH, Francja — nigdy żadnego transferu poza UE
  • Dane first-party — konta czytelników należą do bazy danych wydawcy, a nie do Logory
  • Brak zewnętrznych plików cookie śledzących domyślnie; wszelka analityka jest anonimowa i bez plików cookie
  • Eksport na potrzeby prawa dostępu wbudowany w przestrzeń administracyjną — jedno kliknięcie, aby zrealizować żądanie z art. 15
  • Obsługa prawa do usunięcia na poziomie poszczególnych użytkowników, z kaskadowym usuwaniem komentarzy i głosów zgodnie z polityką przechowywania danych wydawcy

Źródła

Potrzebujesz audytu konfiguracji danych czytelników? Umów 60-minutową rozmowę z naszym zespołem.

Przewodniki
Moderacja Dobre praktyki Karta moderacji
Przykłady
Przypadki użycia Dokumentacja Panel administracyjny
O nas
Zespół Blog Partnerzy Pozycjonowanie Kontakt
Prawne
Informacje prawne Regulamin Prywatność
Bez plików cookie do śledzenia. Suwerenna infrastruktura na OVH (Francja).
Stworzono dla demokracji przez Logora
⌘K / Ctrl+K aby otworzyć