Polityka prywatności

Zakres obowiązywania

W tym dokumencie opisane są zasady działania serwisów internetowych Fundacji Centrum Edukacji Obywatelskiej (zwanej dalej „CEO”), które mają lub mogą mieć znaczenie dla zachowania prywatności użytkowników. Mają one zastosowanie do serwisów w domenie ceo.org.pl oraz do serwisów poszczególnych programów prowadzonych przez CEO, udostępnianych w innych domenach.

Poniższe zasady dotyczą tylko serwisów internetowych, a w szczególności przetwarzania danych osobowych (i innych danych) na potrzeby tych serwisów. Uzupełnieniem niniejszej polityki jest regulamin serwisów internetowych prowadzonego przez Fundację Centrum Edukacji Obywatelskiej. Zasady przetwarzania danych osobowych poza serwisami internetowymi, w ramach prowadzonych przez CEO programów, nie są ujęte w tej polityce. Są one opisane w regulaminie serwisów internetowych i w regulaminach poszczególnych programów (projektów).

W serwisach CEO mogą być zamieszczane odsyłacze (linki) do serwisów lub konkretnych stron w serwisach internetowych innych podmiotów. Takie odsyłacze publikowane są jedynie dla wygody użytkowników i nie mogą być traktowane jako rekomendacja czy akceptacja działalności tych podmiotów, chyba że z treści towarzyszącej odsyłaczowi wyraźnie wynika takie stanowisko. CEO nie ponosi żadnej odpowiedzialności za treści i sposób działania tych serwisów – skorzystanie z odsyłacza i przejście do wskazywanej przez ten odsyłacz strony lub serwisu odbywa się całkowicie na ryzyko użytkownika.

 

Zbieranie i przetwarzanie danych

Dane osobowe, które zbierane są w serwisach CEO od użytkowników w związku z ich udziałem w prowadzonych przez CEO programach podlegają przetwarzaniu zgodnie z regulaminem odpowiedniego programu. Niektóre dane, które uzyskiwane są w związku z odwiedzinami użytkowników w serwisach  CEO, nie są przyporządkowane do żadnego programu (zwane są dalej „danymi o połączeniach”). Część z nich może stanowić dane osobowe. W takim przypadku są one przetwarzane przez CEO zgodnie z przepisami ustawy o ochronie danych osobowych. Zarówno te dane jak i pozostałe dane o połączeniach - co do zasady - nie są udostępniane innym odbiorcom danych. Mogą jednak być powierzone innym podmiotom w trybie przewidzianym przez wspomnianą ustawę lub udostępniane w formie zanonimizowanej dla celów statystycznych. Mogą również  być udostępnione na żądanie uprawnionego podmiotu zgodnie z powszechnie obowiązującymi przepisami prawa.

Z dużej części lub całości każdego serwisu CEO użytkownicy mogą korzystać bez rejestrowania i logowania się. W takim przypadku CEO otrzymuje i może mieć wgląd w takie dane jak:

  • dane o adresie internetowym (IP) komputera lub urządzenia, przy użyciu którego użytkownik odwiedza serwis CEO oraz o nazwie tego komputera lub urządzenia,
  • dane o przeglądarce (programie), z której korzysta użytkownik i niektórych ustawieniach przeglądarki, oraz o systemie operacyjnym komputera lub urządzenia,
  • dane o adresie serwisu (strony www) z którego nastąpiło przejście (przekierowanie) do serwisu CEO.
  • dane udostępniane przez narzędzie Google Analytics z włączonymi funkcjami reklamowymi, które obejmują m.in. raporty danych demograficznych i zainteresowań.

Jeżeli użytkownik zezwoli na zapisywanie w jego urządzeniu końcowym (komputerze, telefonie lub innym podobnym urządzeniu) ciasteczek, wówczas CEO może zbierać i przetwarzać historię połączeń  z serwisem internetowym CEO (w tym odwiedzone strony) dokonanych z tego urządzenia. Jeśli użytkownik zarejestruje się w serwisie, to historię odwiedzin będzie można połączyć z danymi, które użytkownik poda podczas rejestracji w serwisie.

Więcej danych może zbierać usługodawca, od którego CEO wynajmuje serwery, na których działają serwisy internetowe CEO. Za zbieranie i przetwarzanie tych danych CEO nie ponosi odpowiedzialności.

Jeśli chcesz się dowiedzieć więcej o tym, jakie dane może potencjalnie uzyskać dowolny serwis internetowy, który odwiedzasz, korzystając z mechanizmów oferowanych przez twoją przeglądarkę, możesz odwiedzić serwis www.browserspy.dk – ale zgodnie z tym co zostało napisane powyżej, CEO nie bierze odpowiedzialności za działanie tego serwisu, a podany link umieszczany jest jedynie dla wygody użytkownika.  

Jeśli chcesz się dowiedzieć więcej o tym jakie dane może potencjalnie uzyskać dowolny serwis internetowy, który odwiedzasz, korzystając z mechanizmów oferowanych przez twoją przeglądarkę, możesz odwiedzić serwis www.browserspy.dk – ale zgodnie z tym co zostało napisane powyżej, CEO nie bierze odpowiedzialności za działanie tego serwisu, a podany link umieszczany jest jedynie dla wygody użytkownika.  

W niektórych serwisach objętych tą polityką dostęp do części serwisu wymaga zarejestrowania się (utworzenia konta) i zalogowania się do serwisu. W takim przypadku, podczas tworzenia konta CEO zbiera określone dane identyfikujące użytkownika (takie jak identyfikator, imię, nazwisko,  szkoła i klasa, adres e-mail itp.). W takiej sytuacji CEO może zbierać i przetwarzać dane o historii odwiedzin użytkownika w serwisie CEO i łączyć te dane z danymi zebranymi podczas rejestracji użytkownika. CEO może również łączyć te dane z innymi danymi jakimi dysponuje z racji udziału użytkownika w programach prowadzonych przez CEO .

Bezpieczeństwo danych, które użytkownik podaje podczas tworzenia konta i do których ma dostęp po zalogowaniu się, zależy również od jakości (siły) hasła stosowanego przez użytkownika i utrzymania go w tajemnicy. Zalecane jest wybieranie długich haseł (min. 8 znaków), utworzonych z losowo wybranych liter, cyfr, innych drukowalnych znaków lub części słów. Zalecane jest również stosowanie różnych haseł w różnych serwisach internetowych.

Wiadomości poczty elektronicznej wysyłane przez serwis CEO nigdy nie proszą użytkownika o przesłanie tą drogą hasła.

Dla zapewnienia bezpieczeństwa (poufności i integralności) przesyłanych danych oraz potwierdzenia autentyczności (uwierzytelnienia) niektóre serwisy CEO lub ich fragmenty korzystają z protokołu https (znanego również jako SSL lub TLS). W takich przypadkach przeglądarka, z której korzysta użytkownik, powinna sygnalizować fakt użycia takiego protokołu, a użytkownik może sprawdzić, czy serwis z którym się połączył (strona www) rzeczywiście należy do CEO.  Ma to znaczenie szczególnie przy wprowadzaniu danych osobowych lub haseł do formularzy oraz przy łączeniu się z serwisami i stronami, których adresy pochodzą z otrzymanych przez użytkownika wiadomości poczty elektronicznej.

W większości popularnych przeglądarek bezpieczne połączenie przy użyciu protokołu SSL/TLS sygnalizowane jest żółtym lub zielonym polem poprzedzającym adres strony na pasku adresu u góry okna przeglądarki i/lub ikonką kłódki  w pasku adresu lub w prawym, dolnym rogu okna przeglądarki. Kliknięcie w jedno z tych miejsc powoduje wyświetlenie okienka z informacjami o tym, czy połączenie jest bezpieczne oraz poleceniem „Więcej informacji” lub „Szczegóły certyfikatu” (lub podobnej treści), które prowadzi do kolejnego okienka z informacjami o certyfikacie klucza publicznego, którym legitymuje się odwiedzany serwis (strona www). Najważniejszą informacją, którą użytkownik powinien zweryfikować jest domena i/lub nazwa podmiotu, dla których certyfikat został wystawiony. Nazwa domeny powinna odpowiadać adresowi www z którym użytkownik chciał się połączyć a nazwa podmiotu – Fundacji Centrum Edukacji Obywatelskiej.

Należy zachować ostrożność przy podawaniu wrażliwych danych osobowych lub haseł jeśli podczas łączenia się z serwisem lub stroną www przeglądarka wyświetla ostrzeżenia informujące o niezgodności adresu serwisu lub strony z danymi w otrzymanym certyfikacie lub o innych problemach z certyfikatem lub bezpiecznym połączeniem – w przypadku wystąpienia takich sytuacji w serwisach CEO prosimy o kontakt na adres ceo@ceo.org.pl.

 

Zapisywanie informacji w urządzeniu użytkownika

Ze względów technicznych i dla usprawnienia pracy serwisów, CEO stosuje tzw. ciasteczka (ang. cookies), czyli niewielkie pliki przesyłane w komunikatach protokołu http/https, zapisywane w urządzeniu  końcowym użytkownika i odczytywane przy każdym dostępie użytkownika do serwisu, również w kolejnych sesjach (tzn. po zamknięciu i ponownym uruchomieniu przeglądarki).

Ciasteczka nie są stanowią zagrożenia dla urządzenia użytkownika, potencjalnie mogą jednak stanowić zagrożenie dla prywatności użytkownika.

Ciasteczka mogą być również wysyłane do urządzenia użytkownika przez inne serwisy, w tym należące do  innych podmiotów, których materiały są pobierane z domen udostępniających te serwisy i wyświetlane przez serwis CEO jako część odwiedzanej przez użytkownika strony www. Są to tzw. ciasteczka stron trzecich (ang. third party cookies). W niektórych sytuacjach, z uwagi na konstrukcję serwisów CEO, taki charakter będą miały ciasteczka wysyłane przez serwisy należące do CEO z innych domen niż domena udostępniająca odwiedzany przez użytkownika serwis CEO.

Zgodnie z obowiązującymi od marca 2013 r. przepisami prawa telekomunikacyjnego zapisywanie ciasteczek w urządzeniu końcowym użytkownika wymaga zgody użytkownika. W serwisach CEO wyświetlane jest zapytanie o taką zgodę, jednak jeżeli użytkownik jej nie udzieli wyraźnie, a mimo to kontynuuje używanie serwisu, wówczas CEO przyjmuje, że użytkownik wyraził swoją wolę poprzez odpowiednie ustawienia swojej przeglądarki, które albo pozwalają albo zabraniają zapisywania ciasteczek. Prawo telekomunikacyjne dopuszcza wyrażenie zgody na zapisywanie ciasteczek poprzez odpowiednie skonfigurowanie ustawień przeglądarki. Zgoda (wyrażona wprost lub poprzez ustawienia przeglądarki) obejmuje również zgodę na zapisywanie ciasteczek stron trzecich.

Wysyłane przez CEO ciasteczka mogą służyć do następujących celów:

  • prowadzenia statystyk odwiedzin serwisu,
  • zapamiętania preferencji użytkownika,
  • identyfikowania i uwierzytelniania zalogowanego użytkownika.

CEO nie stosuje ciasteczek przeznaczonych do śledzenia odwiedzin użytkownika w innych serwisach internetowych, nie gwarantuje jednak, że do tego celu nie są stosowane wysyłane z serwisów CEO ciasteczka stron trzecich z domen nie należących do CEO.

Użytkownik może kontrolować jakie ciasteczka są zapisywane w jego urządzeniu i kiedy są usuwane za pomocą ustawień swojej przeglądarki. W tym celu przeglądarki dostarczają zwykle następujących opcji konfiguracyjnych:

  • akceptuj ciasteczka (dostępne ustawienia: tak/nie/pytaj za każdym razem),
  • akceptuj ciasteczka stron trzecich (dostępne ustawienia: tak/nie),
  • usuń ciasteczka po zakończeniu sesji (dostępne ustawienia: tak/nie).

Te ustawienia mogą dotyczyć poszczególnych serwisów lub wszystkich odwiedzanych serwisów łącznie.

Użytkownik może również usuwać poszczególne ciasteczka lub ciasteczka z poszczególnych serwisów. Ciasteczka tzw. sesyjne (ważne do końca bieżącej sesji) są zazwyczaj usuwane z urządzenia użytkownika dopiero po zamknięciu przeglądarki.

Istnieją również inne niż udostępniane przez protokół http/https mechanizmy zapisywania plików w  urządzeniu (komputerze) użytkownika m.in. tzw. ciasteczka Flash, mechanizmy magazynu lokalnego/sesyjnego zgodne ze standardem HTML5 a także inne mechanizmy śledzenia działań użytkownika w sieci Internet (zbiorczo określane mianem tzw. web bugs). Mimo iż CEO nie stosuje tych mechanizmów, to nie może jednak zagwarantować, że nie są one stosowane przez podmioty, do których serwisów lub stron następuje odesłanie (przy użyciu linków) lub których materiały są pobierane z domen tych podmiotów i wyświetlane jako część odwiedzanej przez użytkownika strony www w serwisie CEO.

 

Zgłaszanie zagrożeń i naruszeń prywatności lub bezpieczeństwa

W sprawach związanych z polityką prywatności lub zagrożeniami dla prywatności związanymi z serwisem CEO oraz w każdym przypadku podejrzenia naruszenia prywatności lub wystąpienia innych naruszeń bezpieczeństwa a także w celu zgłoszenia innych uwag na temat serwisu należy wysłać wiadomość na adres ceo@ceo.org.pl.

 

Słowniczek

Ciasteczko (ang. cookie) – ciąg danych wysyłany przez serwer www i zapisywany przez przeglądarkę na dysku urządzenia użytkownika pod nazwą ustaloną przez serwer; do kolejnych zapytań (żądań pobrania strony) jakie przeglądarka kieruje do tego serwera dołączane są wszystkie zapisane przez niego wcześniej w urządzeniu użytkownika ciasteczka, oznaczone swoimi nazwami.

Przeglądarka (ang. browser) – program służący do przeglądania serwisów www i wyświetlania treści stron w tych serwisach.

Odsyłacz (ang. link) – pole umieszczone na stronie www, którego uaktywnienie poprzez kliknięcie klawiszem myszki powoduje przeniesienie się na stronę www skojarzoną z tym polem (której adres niekoniecznie odpowiada tekstowi jaki widzi użytkownik); odsyłacze najczęściej oznaczane są innym kolorem czcionki lub podkreśleniem.

Domena (ang. domain) – fragment sieci internet (dokładniej: przestrzeni nazw sieci internet) przydzielony jednej organizacji; nazwa domeny składa się z kilku członów oddzielonych kropkami (np. ceo.org.pl); zwykle nazwa domeny jest zbliżona do nazwy organizacji; przeglądarki starają się zapewnić separację danych pochodzących z różnych domen, aby nie dopuścić do naruszeń prywatności użytkownika.

Sesja (ang. session) – ciąg działań użytkownika w ramach jednego serwisu www pomiędzy pierwszym odwiedzeniem tego serwisu po uruchomieniu przeglądarki a zamknięciem przeglądarki; technicznie sesja jest najczęściej realizowana poprzez zapis w urządzeniu użytkownika ciasteczka identyfikującego sesję, które jest usuwane przy zamykaniu przeglądarki.

 

 

UWAGA: Podane powyżej wskazówki dotyczą tylko tzw. ciasteczek HTML – nie dotyczą innych, wspomnianych wcześniej mechanizmów zapisywania danych w urządzeniu użytkownika.