W ostatniej części poradnika (Część 1) zajmowaliśmy się opisem wypełniania „krok po kroku” wniosku rejestracyjnego do GIODO. Zdążyliśmy poruszyć następujące zagadnienia: jak określić przedmiot zgłoszenia (część A0 wniosku), jak prawidłowo nazwać rejestrowany zbiór danych (część A1), kim jest administrator danych (część B1), kiedy administrator mógłby przekazywać dane osobowe do państwa trzeciego (część B2), czym jest powierzenie przetwarzania danych osobowych i w jakich przypadkach istnieje konieczność odnotowywania tego faktu (część B3). W niniejszej części opiszemy Państwu, w jaki sposób wypełnić dalsze pola wniosku rejestracyjnego. Szczególnie wiele miejsca poświęcimy jednemu z najważniejszych elementów – części B4, która dotyczy wyboru przesłanki legalności przetwarzania danych osobowych.
Uwaga! W niniejszym poradniku przeprowadzamy symulację rejestrowania przez przedszkole zbioru danych osobowych Ewidencja korespondencji. Czytelniku, jeśli nie reprezentujesz placówki oświatowej, poradnik również jest dla Ciebie! Nie przejmuj się zwrotami skierowanymi bezpośrednio do dyrektorów przedszkoli – proces rejestracji zbiorów do GIODO przebiega tak samo dla każdej branży – czy dla firmy prywatnej, czy dla instytucji publicznej. |
Przesłanki legalności danych osobowych zwykłych – część B4
Część B4 dotyczy wspomnianych już przesłanek legalności przetwarzania danych osobowych zwykłych (nie wrażliwych). Przesłanki legalności to wykaz warunków, które musi spełnić dyrektor przedszkola, aby móc przetwarzać dane osobowe. Polskie prawo stanowi, że w przypadku danych osobowych zwykłych istnieje pięć przesłanek legalności, natomiast w przypadku danych osobowych wrażliwych, tych przesłanek jest aż dziesięć. Na potrzeby niniejszego artykułu omówimy jedynie przesłanki legalności przetwarzania danych osobowych zwykłych. W większości przypadków, zbiory danych osobowych zawierające dane osobowe wrażliwe są bowiem zwolnione z obowiązku rejestracji (wszystkie wyjątki pozwalające na nierejestrowanie zbiorów danych zostały opisane w poprzednich artykułach). Dodatkowo, przypominamy, że począwszy od ostatniego artykułu, przeprowadzamy swojego rodzaju symulację rejestracji rzeczywistego zbioru danych. Wypełniamy formularz dla zbioru danych, który rejestruje najwięcej przedszkoli i który z bardzo dużym prawdopodobieństwem będą musieli Państwo również zarejestrować. Tym zbiorem jest Ewidencja korespondencji, w przypadku którego nie będziemy mieli do czynienia z danymi wrażliwymi (Ewidencja korespondencji składa się z co najwyżej danych osobowych adresatów, które stanowią dane osobowe zwykłe).
Tak jak wspominaliśmy, polskie prawo stanowi, że istnieje pięć przesłanek legalności przetwarzania danych osobowych zwykłych. Co bardzo istotne – każda z przesłanek równoważna i wystarczy, że dyrektor przedszkola będzie mógł legitymować się tylko jedną z nich, aby już przetwarzać dane osobowe zgodnie z prawem. Oczywiście, administrator danych osobowych może podeprzeć się więcej niż jedną przesłanką legalności. Takie działanie w teorii wydawałoby się lepsze. Wielu administratorom danych sądzi, że w myśl zasady im więcej tym lepiej, zaznaczenie wielu przesłanek legalności spowoduje, że biuro Generalnego Inspektora Danych Osobowych podczas weryfikacji wniosku będzie miało większe przekonanie, że faktycznie działamy w granicach przepisów prawa. Nie jest to prawda. Wystarczy jedna, konkretna i oczywiście zgodna ze stanem faktycznym przesłanka. Co więcej – opieranie się na przynajmniej dwóch przesłankach legalności może być kłopotliwe! Jeśli np. jako przesłankę legalności w zatrudnieniu wybierzemy przepis prawa (Kodeks Pracy w przypadku wychowawców pracujących w placówce), to nie powinniśmy wymagać od pracowników dodatkowo wyrażenia zgody na przetwarzanie ich danych osobowych. Mogłoby to doprowadzić do kłopotliwej sytuacji, kiedy w myśl przepisów pracodawca musi zbierać pewne informacje, ale pracownik nie chce wyrazić na to zgodę.
Szczegółowe wyliczenie wszystkich przesłanek legalności przetwarzania danych osobowych zwykłych, znajduje się w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: Uodo):
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Poniżej omówimy pokrótce każdą z przesłanek legalności. Tak naprawdę, jest to temat na osobny artykuł, dlatego w tym miesiącu opiszemy tylko podstawowe informacje z tym związane, skupiając się na przedstawieniu wiedzy niezbędnej do wypełnienia wniosku rejestracyjnego.
Przesłanka nr 1 – zgoda osoby której dane dotyczą na ich przetwarzanie.
Jest to jedna z podstawowych przesłanek z racji dość częstego występowania w szeregu formularzy służących do zbierania danych osobowych. Bynajmniej, nie oznacza to, że zgoda na przetwarzanie danych osobowych zajmuje w systemie prawnym wyższą pozycję niż pozostałe przesłanki legalności.
Wydawałoby się, że jest to najprostsza z przesłanek i nie wymaga szerszego omówienia. Nic bardziej mylnego. Po pierwsze zaznaczyć należy, że zgoda nie może być domniemana lub dorozumiana z innego oświadczenia woli. Zgoda zatem musi być wyrażona wprost, przez osobę jej udzielająca. Zakazana jest praktyka „maskowania” zgody na przetwarzanie danych osobowych i umieszczania jej dokumentach pośrednich – regulaminach, statutach. Jeśli więc przedszkole korzysta z formularza do zbierania danych osobowych od rodziców, to pytanie o zgodę na przetwarzanie ich danych powinno znajdować się na tymże formularzu, a nie np. w statucie placówki. Podsumowując: zgoda na przetwarzanie danych osobowych ma charakter oświadczenia woli – to znaczy, że musi być odzwierciedleniem woli osoby ją wyrażającej, nie możemy się jej „domyślać”.
Po drugie – zgoda musi być dobrowolna. Zakazana jest praktyka wymuszania zgody na przetwarzanie danych osobowych. Ponadto, każdy ma prawo do wycofania zgody w dowolnym momencie.
Po trzecie – forma wyrażenia zgody jest dowolna. O zgodę na przetwarzanie danych osobowych można zapytać na piśmie, mailowo, albo nawet podczas rozmowy telefonicznej! Oczywiście dla celów dowodowych zaleca się, że by zawsze po zgodzie pozostał jakiś ślad. Dlatego też najlepsze sposoby zbierania zgód to: pisemny oraz mailowy (oczywiście dla celów dowodowych należy zachować takiego maila).
Po czwarte – o ile forma wyrażenia zgody jest dowolna, to już formuła zapytania o zgodę musi spełniać pewne minimalne standardy. Zgoda powinna być wyrażona w sposób jasny i konkretny – udzielający musi wiedzieć o tym, w jaki sposób jego dane będą przetwarzane. Dlatego też, koniecznym elementem klauzuli zgody na przetwarzanie danych osobowych jest precyzyjne określenie celu tego przetwarzania.
W placówkach publicznych (w tym w przedszkolach), opisywana w niniejszym podrozdziale przesłanka nie będzie miała częstego zastosowania. Dzieje się tak dlatego, że większość danych osobowych jest przetwarzana w placówkach oświatowych na podstawie konkretnych przepisów prawa i nie ma potrzeby (wręcz jest to nie wskazane!) zbierania dodatkowo zgód na przetwarzanie danych osobowych. Najczęściej występujące przypadki, kiedy dyrektor przedszkola ma obowiązek zapytać o zgodę:
– rekrutacja pracowników. Jeśli dyrektor placówki poszukuje nowych wychowawców do placówki, powinien wymagać od kandydatów zamieszczenia na CV klauzul zgody na przetwarzanie danych osobowych. CV, które nie zawierają tego typu oświadczenia nie mogą brać udziału w procesie rekrutacji. Na szczęście, w takich przypadkach dopuszczalne jest zebranie zgody poprzez kontakt z kandydatem, który zapomniał o umieszczeniu zgody w CV.
– zbieranie większej ilości informacji od rodziców wychowanków, niż przewidują to przepisy prawa. Standardowym jest tutaj numer telefonu, zbierany od rodziców w celu kontaktu w nagłych przypadkach. Jest to dopuszczalne, ale jedynie za zgodą rodzica.
W przeprowadzanej przez nas symulacji rejestracji zbioru „Ewidencja korespondencji”, zgoda na przetwarzanie danych osobowych nie będzie odgrywała większej roli. Trudno bowiem wyobrazić sobie sposób uzyskania zgody na przetwarzanie danych osobowych znajdujących się na kopercie. Zanim bowiem „uzyskalibyśmy” zgodę zawartą w środku – już doszłoby do przetwarzania danych osobowych przez samo choćby przyjęcie koperty.
Przesłanka nr 2 – przetwarzanie jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Kolejną z przesłanek jest przepis prawa dający możliwość przetwarzania danych osobowych. Co oznacza to w praktyce? Mamy do czynienia ze swego rodzaju podwójną konstrukcją. Po pierwsze – przepisy prawa muszą nakładać obowiązek (lub dawać uprawnienia) na danego administratora danych. Po drugie zaś, przetwarzanie danych osobowych musi być niezbędne do zrealizowania tegoż obowiązku. Chodzi o to, aby ustalić czy w świetle istniejącego obowiązku (lub uprawnienia) wynikającego z przepisu prawa, niemożliwe byłoby jego wykonanie bez przetwarzania danych osobowych.
Generalnie zasada jest taka: jeśli jakiś przepis prawa pozwala (lub nakłada obowiązek) przedszkolu na przetwarzanie danych osobowych, nie ma konieczności zbierania dodatkowo zgody na przetwarzanie danych osobowych. Mogłoby to spowodować mylne wyobrażenie osoby której dane są przetwarzane, co do swoich praw względem Administratora.
Co ciekawe, doktryna prawnicza i GIODO, nakazują traktować „przepis prawa” dość szeroko. Nie musi to być przepis rangi ustawowej. Wystarczy, samo rozporządzenie jeśli zostało wydane na podstawie ustawowej delegacji (odesłania). Chodzi tu np. o rozporządzenie Ministra Edukacji wydane na podstawie delegacji zawartej w Ustawie o Systemie Oświaty.
Jak ta przesłanka ma się w kontekście naszej symulacji zarejestrowania zbioru „Ewidencja korespondencji”? Analizując bazę zbiorów zarejestrowanych w bazie GIODO jako rejestry korespondencji można dojść do wniosku, że właśnie przepis prawa jest najczęściej wybieraną przesłanką legalności. I to właśnie tę przesłankę (plus przesłankę numer pięć) należy zaznaczyć we wniosku rejestracyjnym w przypadku rejestrowania zbioru „Ewidencja korespondencji”.
Oczywiście należy pamiętać, że nie wystarczy samo zakreślenie kwadracika w części B4 formularza. Należy jeszcze wskazać dokładnie o jaki akt normatywny chodzi. Jak możemy przeczytać na portalu e-giodo: „W przypadku gdy wnioskodawca zakreślił pole drugie [przyp. przepis prawa jako przesłanka legalności] powinien precyzyjnie określić przepisy prawa, które zezwalają na przetwarzanie danych osobowych, wskazując tytuł oraz miejsce publikacji aktu prawnego. Wspomnianym „przepisem prawa” jest przeważnie jest ustawa o systemie oświaty. Często podaje się również ustawę o narodowym zasobie archiwalnym i archiwach.
Przesłanka nr 3 – przetwarzanie jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
Przesłanka ta obejmuje dwie hipotetyczne sytuacje. Wykonanie istniejącej już umowy lub podjęcie czynności zmierzających dopiero do zawarcia takiej umowy. Pamiętać jednak należy, że przetwarzanie danych osobowych jest możliwe tylko przez taki czas jaki będzie konieczny do wykonania lub zawarcia umowy.
Przesłanka ta nie będzie miała znaczenia w przypadku zgłoszenia do rejestracji zbioru „Ewidencja korespondencji”, ponieważ oczywiście nie jesteśmy w stanie stwierdzić, czy dany nadawca zawarł umowę z przedszkolem, czy też nie.
Mogła by to być natomiast przesłanka w przypadku zbioru danych „Kontrahenci” – przetwarzanie jest niezbędne do wykonania zawartej umowy lub zbioru „Potencjalni pracownicy” – tutaj dane przetwarzane byłyby w procesie za, a więc zmierzającym do zawarcia umowy.
Przesłanka nr 4 – przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego – w przypadku odpowiedzi twierdzącej, należy opisać te zadania
Przesłankę tę należy umieścić tutaj jedynie informacyjnie. W praktyce bowiem (a to najważniejsze) nie będzie ona miała zastosowania do danych przetwarzanych przez przedszkole.
Czym się zatem ona charakteryzuje?
Przetwarzanie powinno mieścić się w granicy zadań i terytorium podmiotu który dokonuje go na tej podstawie. Ponadto przesłanka ta dotyczy sytuacji, gdy brak jest szczególnego przepisu umożliwiającego przetwarzanie danych osobowych, jednakże ze względu na dobro publiczne dane te muszą być przetwarzane bez uzyskania zgody osób których one dotyczą. Chodzi tu więc bardziej o podmioty powołane ze swej istoty do działania na rzecz dobra publicznego. Przykładem może być np. prokurator domagający się udostępnienia danych osobowych niezbędnych w prowadzonym przez niego postępowaniu.
Przesłanka nr 5 – przetwarzanie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Jest to ostatnia z przesłanek legalności przetwarzania danych osobowych. Można wręcz powiedzieć, że jest to swego rodzaju „furtka” do przetwarzania danych osobowych, w przypadku, kiedy nie jesteśmy w stanie spełnić przesłanek legalności nr 1-3. Jak widać bowiem mamy do czynienia z nie do końca określonym znaczeniowo pojęciem usprawiedliwionego celu.
Ustawa wskazuje nam co można uznać za prawnie usprawiedliwiony cel: marketing bezpośredni towarów i usług własnych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (Art. 23. 4. Uodo). Nie jest to co prawda katalog zamknięty, ale w dobry sposób wskazuje nam co ustawodawca miał na myśli w szczególności pod pojęciem usprawiedliwionego celu.
Prawnie usprawiedliwiony cel musi istnieć po stronie Administrator Danych, a także odbiorcy danych (w przypadku ich przekazywania). Przetwarzanie to musi być konieczne. Ponadto łącznie z pierwszym wymogiem musi być spełniony drugi – nie może to naruszać praw i wolności osoby której dane dotyczą.
Jak więc można zauważyć – jest to pewnego rodzaju furtka, ale jednocześnie furtka dobrze „zabezpieczona” przed nadinterpretacją prawa.
Przed nowelizacją Uodo klauzula ta odnosiła się jedynie do podmiotów prywatnych, obecnie dotyczy również podmiotów sektora publicznego. Należy jednak mieć na względzie, że podmioty realizujące zadania publiczne (w tym także przedszkole) powinny opierać się przede wszystkim na przesłankach nr 1-3 (a więc na zgodzie, przepisach prawa lub na umowie).
W omawianej sytuacji zgłoszenia „Ewidencji korespondencji” ta przesłanka może znaleźć zastosowanie, jednak z powodu bardzo cennego charakteru prawnie usprawiedliwionych celów, bardziej wskazane jest powoływanie się na przepis prawa.
Po zaznaczeniu odpowiedniej przesłanki legalności (koniecznie należy zaznaczyć przynajmniej jedną z nich) należy kliknąć na przycisk <<DALEJ>>. Umożliwi to Państwu przejście do kolejnej części – C5.
Cel przetwarzania danych osobowych – część C5
Część C5 dotyczy określenia celu przetwarzania danych osobowych w zbiorze. Choć część ta zajmuje bardzo niewiele miejsca we wniosku, to wbrew pozorom jest bardzo istotna. Określenie celu przetwarzania danych osobowych w zbiorze ma bowiem fundamentalne znaczenie przy ocenianiu adekwatności przetwarzanych danych. Zasada adekwatności (proporcjonalności) w ochronie danych osobowych oznacza, nie możemy zbierać więcej danych osobowych niż jest to konieczne do osiągnięcia celu w jakim te dane zebraliśmy. Przykładowo naruszeniem zasady adekwatności byłoby zbieranie od rodziców numerów PESEL w celu kontaktu w przypadku nagłych sytuacji. Dla osiągnięcia tego celu wystarczyłyby podstawowe dane kontaktowe (numer telefonu komórkowego lub miejsce pracy), natomiast numer PESEL z pewnością nie będzie nam tu potrzebny. Zbieranie od rodziców numerów PESEL nie naruszy jednak zasady adekwatności, jeśli danych tych będziemy potrzebować w celu wykupienia grupowego ubezpieczenia.
Zgodność wniosku z zasadą adekwatności jest jednym z najważniejszych elementów kontroli rejestrowanego wniosku. Jeśli okazałoby się, że w polu C5 rejestrujący wpisał jakiś prozaiczny cel przetwarzania danych (np. cel kontaktu z rodzicem), natomiast w części C7, zaznaczył bardzo szeroki zakres przetwarzanych danych (np. data urodzenia, miejsce urodzenia, wykształcenie), to inspektor GIODO rozpatrujący wniosek z pewnością zwróci na to uwagę i poinformuje rejestrującego, że zakres przetwarzanych danych jest zbyt szeroki w stosunku do celu przetwarzania.
Warto określić cel w jak najdokładniejszy sposób. Powszechna jest praktyka wpisywania w tym polu „realizacja przepisów prawa”. Owszem – takie zbiory są czasem zarejestrowane, ale warto jednak zawsze doprecyzować ten cel, aby nie spotkać się ze zwrotem wniosku do uzupełnienia. W naszym przypadku (rejestr korespondencji, przesłanka legalności – przepis prawa, ewentualnie prawnie usprawiedliwiony cel) można przykładowo jako cel wskazać „Dopełnienie obowiązków określonych w przepisach prawa (gromadzenie korespondencji przychodzącej i wychodzącej)”.
Kategoria osób, których dane dotyczą – część C6
Część C6 dotyczy określenia kategorii osób, których dane dotyczą. Naturalnie, nie ma potrzeby wpisywania w tym polu imion i nazwisk poszczególnych osób, których dane osobowe zgromadziliśmy. Chodzi tu o ogólne określenie kategorii w której „zmieszczą się” wszyscy, których dane są przetwarzane w przedszkolu. Przykładowo – dla rejestru korespondencji złym określeniem kategorii osób będzie „osoby wykonujące działania zlecone”, jeśli w tym zbiorze przechowywana jest także korespondencja np. z rodzicami.
W przypadku tej części wniosku rejestracyjnego, powinniśmy wykorzystać jak najbardziej ogólnikowe zwroty. Dla zbioru „Ewidencja korespondencji” trafne wydaje się określenie kategorii osób jako „Osoby przesyłające korespondencje”.
Zakres przetwarzanych danych w zbiorze – części C7 i C8
Część C7 i C8 dotyczy określenia zakresu przetwarzanych danych osobowych zwykłych. W następnej części (C9) możliwe jest zasygnalizowanie przetwarzania danych osobowych wrażliwych. Część C9 nie będzie nas jednak interesować, ponieważ w przypadku naszej symulacji rejestracji zbioru danych „Ewidencja korespondencji” nie będą przetwarzane dane osobowe wrażliwe, a wyłącznie dane osobowe zwykłe.
We wzorze wniosku zostały wymienione wszystkie najczęściej występujące dane: imiona i nazwiska; imiona rodziców; data urodzenia; miejsce urodzenia; adres zamieszkania lub pobytu; numer PESEL; numer NIP; miejsce pracy; zawód; wykształcenie; seria i numer dowodu osobistego oraz numer telefonu.
Czy to wszystkie dane osobowe jakie mogą być przetwarzane w zbiorze? Oczywiście, że nie. To tylko przykładowe wyliczenie, kolejna część wniosku (C8) zawiera możliwość wpisania także innych danych osobowych które są przetwarzane (np. adres e-mail czy numer konta bankowego).
Jak już wspomniano – sekcja ta podlegać będzie kontroli adekwatności zakresu zbieranych danych wobec celu ich przetwarzania. W przypadku „Ewidencji korespondencji” możliwym zakresem zbieranych danych będą zatem wyłącznie dane dotyczące adresatów (przede wszystkim ich imię, nazwisko oraz adres zamieszkania lub pobytu). Wystarczą one bowiem w zupełności do spełnienia celu – wysyłki/otrzymania korespondencji.
Następne części poradnika
Mamy nadzieję, że wiedzą już Państwo dokładnie, jak wskazać przesłankę legalności przetwarzania danych osobowych, jak określić kategorię osób, których dane dotyczą oraz jak poprawnie zdefiniować cel i zakres przetwarzania danych osobowych. W następnym numerze Miesięcznika, wyjaśnimy szczegółowo części D i E wniosku rejestracyjnego – jak określić sposób zbierania oraz udostępniania danych oraz jak opisać środki techniczne i organizacyjne zastosowane w celu zabezpieczenia przetwarzanych danych osobowych.
Inne artykuły związane z rejestracją zbiorów danych osobowych do GIODO
Zapraszamy do zapoznania się ze wszystkimi częściami cyklu artykułów poświęconych rejestracji zbiorów danych osobowych do GIODO:
– Które zbiory danych osobowych zwolnione są z obowiązku rejestracji:
– Jakie zbiory danych osobowych powinno się zarejestrować do GIODO
– Poradnik jak zarejestrować zbiór danych osobowych krok po kroku:
Część 1. – definiowanie administratora danych i nazwy zbioru danych, przedstawiciel Wnioskodawcy (państwo trzecie), powierzenie przetwarzania danych osobowych
Część 2. – wskazanie przesłanki legalności, celu i zakresu przetwarzania danych oraz kategorii osób, których dane są przetwarzane
Część 3. – osoby od których zbierane są dane osobowe, przekazywanie danych do państwa trzeciego
Część 4. – centralne/rozproszone przetwarzanie danych, jaką formę przetwarzania danych wybrać, które z podstawowych zabezpieczeń zaznaczyć
Część 5. – w jaki sposób opisać dodatkowe zabezpieczenia, które stosujemy, aby chronić przetwarzane dane osobowe
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.