Mam zamiar wydać aplikację, która będzie zbierała dane osobowe w bazie danych firebase (mail przy rejestracji). Jak wygląda problem z RODO? Dużo jest zachodu i czy jest to możliwie proste dla osoby prywatnej? Czytałem kilka artykułów na internecie, ale średnio je rozumiem.
0
0
O ile dobrze pamiętam ze szkolenia o RODO - zależy to od tego, co chcesz robić.
Znaczy - czy ta strona, o której piszesz, jest stroną hobbystyczną i niekomercyjną, czy raczej ma na siebie zarabiać.
I nie ma większego znaczenia, czy dane są zbierane oraz przetwarzane przez osobę prywatną, czy podmiot gospodarczy - istotny jest cel ich przetwarzania.
0
Strona, a właściwie aplikacja internetowa prowadzona przez jedną osobę hobbistycznie bez żadnego zarobku. Dane potrzebne jedynie do identyfikacji konta z danymi etc.
- Załóżmy też drugi przypadek, strona hobbistyczna, tak jak wyżej, ale z reklamami.
- Czy tzw. darowizny typu np. paypal są brane pod uwagę jako komercyjne? chyba nie
0
Ja to rozumiem tak:
jeśli trzymasz dane innych osób w tym loginy hasła adresy email i jest to podpięte po stronę wystawioną na świat to rejestrujesz,
jeśli trzymasz kilka danych typu jakieś opisy, zdjęcia nie przedstawiające nikogo, bądź strona jest wizytówką nie rejestrujesz bo nie masz danych osobowych.
0
To akurat wiem. Jeśli strona nie powiada owych sanych osobowych typu email, numer telefonu, adres itp. to nie muszę jej rejestrować, ale w tym przypadku raczej tak.
1
@kate87: No właśnie nie do końca. O ile jest to strona stricte niezarobkowa - np. jakiś blog albo strona z newsami dla członków rodziny rozsianych po świecie, to nie jest to konieczne. ALE - praktycznie na każdym blogu masz jakieś reklamy, czyli źródło zarobków - wtedy strona już taką zupełnie prywatną i niezarobkową nie jest.
Poza tym jest pewna zmiana i teraz (w świetle RODO) nie trzeba rejestrować zbiorów danych - zamiast tego MUSISZ posiadać stosowne polityki zabezpieczenia posiadanych danych oraz procedury postępowania z nimi oraz reagowania w razie stwierdzenia ich naruszenia (naruszeniem zarówno jest np. zgubienie laptopa z danymi klientów, co niekoniecznie musi spowodować dostęp nieuprawnionych podmiotów do tych danych, ale także sam "wyciek" danych). I kontrole będą dotyczyć sprawdzenia poprawności postępowania w tych dwóch zakresach - czy posiadasz ustalone stosowne procedury oraz czy są przestrzegane.
Te procedury nie dotyczą tylko samych serwerów i baz danych, ale patrzą na sprawę całościowo. Tak więc np. musisz mieć zabezpieczone pomieszczenie, w którym trzymasz dane (zarówno w wersji papierowej, jak i eletronicznie). Szuflada/szafa z teczkami pracowników musi być zamknięta na klucz. Musisz w polityce wskazać, że oddając telefon czy komputer do serwisu odpowiednie osoby (i to autor polityki musi wskazać, kto za to odpowiada - sam pracownik, czy może musi przekazać to do działu IT) muszą skasować z takich urządzeń wszelkie dane osobowe.
Takich przykładów oczywiście są setki. A najlepsze (lub najgorsze - to zależy od podejścia) jest to, że RODO nie daje konkretnych instrukcji, ale jedynie wskazuje przedsiębiorcom, że mają zabezpieczyć swoje zbiory danych zgodnie z potrzebami, ryzykiem oraz kosztami. i tylko (albo AŻ) tyle w temacie. Samemu trzeba się zastanowić co i w jaki sposób zabezpieczyć.
0
teraz to już kompletnie pomieszałeś mi w głowie :) Jak to odnosi się do osoby prywatnej? W świetle RODO wystarczy, że będę miał regulamin/wytyczne dostępne na np. stronie co kiedy jak i dlaczego i to wystarczy?
Trochę dziwne te przepisy (z mojego punktu widzenia). Typowy Kowalski chcąc mieć swoją stronę z rejestracją piszący ją w domowym zaciszu musi robić "bunkier ze swojego pokoju"? :D
0
EDIT: dodam, że korzystając z firebase to zabezpieczenie infrastruktury należy po ich stronie, ja mam jedynie dostęp do tych wrażliwych danych.
0
Ok.. ale czy czytałeś to, co napisałem?
A przeczytałeś uważnie?
Napisałem na samym początku, że to zależy głównie od charakteru strony. Jeśli piszesz bloga, na którym opisujesz z kim się spotkałeś danego dnia oraz o czym gadaliście i co zjadłeś, to jest to strona stricte prywatna. W takim wypadku właściwie nic nie musisz robić, mimo że zbierasz maile ludzi, którym potem rozsyłasz poprzez newsletter powiadomienia o nowych wpisach.
ALE
jeśli dochodzi aspekt komercyjny - np. wspomniane reklamy - to już pojawia się wątek zarabiania na udostępnianej treści. I teraz sprawa się komplikuje (ale w sumie masz to na własne życzenie - bo skoro chcesz ze swojego bloga wyciągać jakąś, nawet niewielką, kasę - to musisz się postarać).
Pisząc o regulaminach i politykach nie miałem nawet na myśli tego, co jest dostępne na wielu stronach (chociaż to też jest konieczne - ludzie muszą być poinformowani o wielu sprawach, z czego podstawą jest to, kto jest administratorem danych, w jaki sposób można je poprawiać, prawie do ich skasowania itp.), ale o wewnętrznych procedurach postępowania z danymi osobowymi. Tak naprawdę brzmi to groźnie, ale sprowadza się do tego, że sam musisz usiąść i się zastanowić, w jaki sposób chcesz je zabezpieczyć oraz jakie potencjalne ryzyka mogą się pojawić. Potem zastanów się jeszcze, w jaki sposób tych ryzyk można uniknąć oraz co musisz zrobić (jest np. obowiązek informowania osób dotkniętych wyciekiem o takim fakcie - nie pamiętam w tej chwili terminu, ale jest on dość któtki - brak poinformowania to bardzo poważne naruszenie, stosownie karane) w sytuacji, jeśli do naruszenia dojdzie.
Wiadomo, że należy dostosować te procedury do skali przedsięwzięcia oraz ilości i charakteru posiadanych danych. Inne zabezpieczenia będą u Ciebie, inne na 4programmers, jeszcze inne na FB czy instagramie, a jeszcze inne w placówce medycznej posiadającej szczegółowe dane o chorobach dziesiątek tysięcy pacjentów. Pamiętaj, że Ty raczej zbierać będziesz maile oraz loginy, a nie PESELE, adresy realne, imiona rodziców albo właśnie wspomniane dane o chorobach - więc nie ma co przesadzać i tworzyć nie wiadomo jak rozbudowanej polityki, takie "podstawy" (polityka haseł, backupy danych oraz ich stosowne traktowanie, poprawny kod, aktualizacje serwera WWW itp.) powinny być wystarczające. Ponieważ wszystko o czym piszesz sprowadza się do strony WWW, więc odpada Ci cała "analogowa" część - zabezpieczenie szaf z dokumentami, kontrola dostępu do pomieszczeń oraz miejsc przechowywania itp.
0
dodam, że korzystając z firebase to zabezpieczenie infrastruktury należy po ich stronie
No to po pierwsze - dobrze byłoby uzyskać od "nich" jakieś zapewnienie, że stosowane przez nich polityki są zgodne z RODO. Jest to taki "dupochron" w razie ewentualnej kontroli (albo co gorsza - wycieku) - Ty masz papierek, że dołożyłeś wszelkich starań do tego, aby administrowane przez Ciebie dane były bezpieczne.
A po drugie - samo techniczne utrzymanie bazy to jedno, ale zakładam, że za jej konfigurację Ty odpowiadasz - prawda? W takim razie winnym ustawienia hasła na admina w postaci "abc123" będziesz Ty, a nie "oni". Tak samo brak zabezpieczenia bazy przed atakami (chociażby SQL Injection) w wyniku którego ktoś sobie zrobi "select * from..." to będzie Twoja (a nie "ich') wina.
Idea RODO jest taka, że (jak pisałem w poprzednim poście) masz SAM się zastanowić co jest potencjalnie niebezpieczne, a potem samemu zaproponować sposób wyeliminowania tych dziur. Nie ma konkretów ani gotowców/szablonów. Każdy przypadek jest traktowany indywidualnie.
Poczytaj jeszcze o procesorach danych - RODO wprowadza takie coś. Teraz nie tylko są administratorzy, ale tez procesorzy (procesorowie???) danych. I zastanów się (nie wiem, jaki charakter będzie miała Wasza współpraca, więc nie wiem, czy ten przypadek się kwalifikuje) czy opisane wynajmowanie infrastruktury (na której będzie prowadzone gromadzenie oraz przechowywanie danych osobowych) nie kwalifikuje się do uznania tamtego podmiotu jako procesora danych. Chociażby jeśli tamten podmiot będzie wykonywać backupu bazy/serwera - w tych kopiach będą się zawierać chronione dane. A co za tym idzie - już musi być określona procedura postępowania z takimi kopiami... Wiem - lekka paranoja :(
0
Dzięki za wyjaśnienie. Pozwolę sobie dopytać:
- Czy dane typu ID usera w bazie danych może być brane jako dane wrażliwe - dające możliwość identyfikacji? Z danych użytkownica mam tu na myśli ID usera, login oraz hasło, nic więcej.
- Załóżmy, że chciałbym potwierdzić prawdziwość użytkownika i wysyłam do niego e-mail na adres, który sam podał na stronie, ale nie jest on zapisywany w bazie, jedynie serwer wysyła odpowiednią wiadomość z kodem, który należy podać w formularzu. Czy w takim wypadku operuję na adresie email? Jak rozumiem w tym przykładzie nie muszę się martwić o sprawy z RODO i GIODO?
Proszę w miarę prostą odpowiedź tak/nie o ile to możliwe :)
0
dane wrażliwe - dające możliwość identyfikacji
Dane wrażliwe to jeszcze coś innego (to np. dane medyczne).
Czy w takim wypadku operuję na adresie email?
Tak. Przetwarzanie to nie tylko przechowywanie danych w bazie.
Login może być jak najbardziej daną osobową, wiele loginów przecież dość unikalnie identyfikuje osobę (np. kwestia jednego wyszukania w Google). Nie mówiąc już o sytuacjach, w których ktoś jako login wpisze imię i nazwisko.
Daną osobową jest również adres IP (i to nie tylko dla operatorów telekomunikacyjnych). Można by się tutaj kłócić z prawnikami, którzy pisali RODO, ale taki był ich zamysł (oby nasze UODO wydało jakąś sensowną interpretację w tym zakresie, wtedy będzie dupochron).
Teraz nie tylko są administratorzy, ale tez procesorzy (procesorowie???) danych
"Podmioty przetwarzające".
opisane wynajmowanie infrastruktury (na której będzie prowadzone gromadzenie oraz przechowywanie danych osobowych) nie kwalifikuje się do uznania tamtego podmiotu jako procesora danych
Tak, kwalifikuje się. Przechowywanie to jedna z form przetwarzania. Firma hostingowa będzie tutaj własnie podmiotem przetwarzającym i trzeba z taką firmą podpisać umowę o tym, że będą przetwarzać dane, których jesteś administratorem.
Generalnie nie ma żadnej wątpliwości, że będziesz przetwarzać dane osobowe.
0
Przepraszam nie sprecyzowalem. Pisząc login miałem na myśli automatycznie generowanie nazwy tak jak jest dla anonimowych userow 4prog, tylko bez możliwość jej zmiany.
0
Częściowo już @Rev odpowiedział na pytania, ale ponieważ wcześniej się udzielałem, to teraz też coś napiszę ;)
-
moim zdaniem sam login (zwłaszcza generowany automatycznie - czyli bez konkretnego związku z realnymi danymi danej osoby) nie jest daną wrażliwą. Dane wrażliwe to takie (mówiąc niefachowo), których baaaardzo nie chcesz, żeby ludzie się dowiedzieli. O ile gdzieś wycieknie Twój adres mailowy albo telefon - możesz się trochę wkurzać, ale tragedii nie będzie. Maila czy telefon możesz zmienić. Ale jak wszyscy Twoi znajomi dowiedzą się, że jesteś homoseksualistą, albo że masz AIDS - to już o wiele gorzej. Te dwie ostatnie rzecz (tak samo jak np. wyznawana religia) są właśnie danymi wrażliwymi, których należy pilnować ze zwiększoną starannością
-
z tego co pisałeś - jeśli tylko wysyłasz maila z kodem aktywującym, a później nigdzie tego adresu nie przechowujesz, to oznacza, że nie przetwarzasz danych osobowych w zakresie adresu mailowego. W ogóle jednym z zamysłów RODO jest minimalizacja przetwarzanych danych. Jeśli jakaś informacja jest CI potrzebna na danym etapie, ale w późniejszym okresie już z niej nie korzystasz, to powinieneś ją skasować ze swojej bazy. Tak samo sprawa się ma ze zbieraniem danych "na zapas" - bo może kiedyś się przydadzą. Dlatego nie powinieneś pytać o nazwisko rodowe, imię matki i ojca oraz inne rzeczy, które nie są Ci niezbędne.
-
PESEL - w mojej ocenie jest daną wrażliwą. Po pierwsze dlatego, że umożliwia jednoznaczną identyfikację danej osoby. A po drugie - często jest wykorzystywany przez różnych oszustów. Jest duża szansa, że w wypadku wycieku PESELa, jego właściciel dowie się o tym po paru miesiącach, kiedy dostanie z banku informację o zaległych ratach kredyty, którego wcale nie brał. Oczywiście - jest to do wyjaśnienia i "odkręcenia", ale wymaga poświęcenie czasu, nerwów, czasami pewnych wydatków, a przy tym nie daje 100% pewności (patrz - przykład rolnika, któremu komornik zabrał ciągnik za długi sąsiada. Teoretycznie rolnik miał rację, ale w praktyce ciągnik stracił...)
-
"przetwarzanie danych" - jest to trochę mylące określenie. Logika tłumaczy słowo przetwarzanie jako czynność "robienia czegoś" - czyli teoretycznie samo posiadanie nie jest przetwarzaniem. Ale z punktu widzenia ustawy, sam fakt posiadania danych już oznacza, że je przetwarzasz. Tak więc - jeśli masz gdzieś w bazie dane, to uznaje się, że je przetwarzasz. Jeśli pracujesz z tymi danymi w jakikolwiek sposób - także je przetwarzasz. Przetwarzanie to takie ogólne określenie na posiadanie oraz "grzebanie" w danych.
@Rev - mam prośbę. Jak cytujesz moje wypowiedzi, to rób to tak, żeby nie zmieniać ich sensu (mam nadzieję, że było to zwykłe przeoczenie, a nie złośliwe i celowe działanie). Podany przez Ciebie cytat z mojego posta:
opisane wynajmowanie infrastruktury (na której będzie prowadzone gromadzenie oraz przechowywanie danych osobowych) nie kwalifikuje się do uznania
sugeruje, że twierdzę, iż to się nie kwalifikuje. A poprawnie cytat powinien mieć następująca postać:
I zastanów się [...] czy opisane wynajmowanie infrastruktury[...] nie kwalifikuje się do uznania tamtego podmiotu jako procesora danych
Jak widać - wcale nie twierdzę, że się nie kwalifikuje, a jedynie piszę, że temat warto przemyśleć.
Jako ciekawostka związana z tematem powierzania danych osobom trzecim - dzisiaj, dosłownie chwilę temu, dostałem maila z BIG Infominitor. Jest to drugie co do wielkości na rynku (zaraz po KRD) biuro informacji gospodarczej. Mamy z nim podpisaną umowę dot. monitorowania oraz dopisywania informacji o przeterminowanym zadłużeniu. Tytuł maila to "Dostosowanie do RODO: Umowa powierzenia przetwarzania danych z BIG InfoMonitor" a jego treść (ważniejsze fragmenty) to:
Informujemy, że w związku z rozporządzeniem o ochronie danych osobowych (RODO), które wejdzie w życie w dniu 25 maja 2018 r., niezbędne jest zawarcie z naszym Biurem UMOWY POWIERZENIA PRZETWARZANIA DANYCH. Bez takiej umowy niemożliwa będzie realizacja usług, których elementem jest przetwarzanie danych osobowych przekazanych nam przez Klientów, w szczególności zaś wysyłka wezwań do zapłaty czy powiadomień o wpisie do Rejestru Dłużników.
Brak zawarcia umowy przed terminem stosowania RODO będzie skutkował brakiem możliwości korzystania ze wskazanych wyżej usług od dnia 26 maja 2018 r. Zależy nam na bezproblemowym przejściu w nową rzeczywistość, jaką stworzy dla naszych Klientów RODO, dlatego zachęcamy Państwa do szybkiego podpisania i odesłania ww. umowy.
Podkreślmy, że umowa wynika tylko i wyłącznie z wymogów prawnych RODO i nie zmienia warunków naszej współpracy w pozostałych obszarach.
Jeżeli ktoś jest zainteresowany - proszę o kontakt na PW, mogę przesłać wzór tej umowy.
0
I jeszcze mam taką jedną poradę dotyczącą w ogóle całego Twojego "przedsięwzięcia".
Na razie skup się na stronie informatycznej, stwórz ten portal najlepiej jak umiesz, dopracuj go w szczegółach. A dopiero jak będziesz miał gotowy produkt - pójdź do jakiegoś prawnika. Wydaj parę stówek i niech konkretnie ten specjalista, analizując to, co stworzyłeś, wypowie się w temacie RODO - wyda zalecenia, odpowie na pytania i wątpliwości.
Niestety - u nas prawników traktuje się podobnie, jak profilaktykę medyczną. Dopóki jest OK, to po co się badać (chociażby mammografia czy badanie prostaty). Skoro jest OK, to siedzę w domu, a do lekarza idę, jak z powodu bólu nie mogę wytrzymać. Tylko wtedy może być za późno. Tak samo z prawnikiem - póki nie ma problemów, to go unikamy, bo darmozjad bierze kasę za nic ;) A prawda jest taka, że konsultując się z fachowcem na wczesnym etapie, można uniknąć wielu późniejszych konsekwencji (dotyczy zarówno prawa, jak i zdrowia).
0
@Rev - mam prośbę. Jak cytujesz moje wypowiedzi, to rób to tak, żeby nie zmieniać ich sensu (mam nadzieję, że było to zwykłe przeoczenie, a nie złośliwe i celowe działanie).
Przepraszam. Najgorsze jest to, że przed chwilą znowu zrobiłem to samo, ale w ramach autokorekty wyrzuciłem swój post w kosmos :)).
Wracając do przetwarzania adresu mailowego.
Definicja przetwarzania wg RODO:
„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Jak najbardziej potwierdzenie konta przez email będzie przetwarzaniem adresu - będzie tutaj chociażby pobranie, wykorzystanie, czy usunięcie.
0
W mojej ocenie - jeśli koleś pobiera adres mailowy, a następnie wysyła na niego link aktywujący i dalej nigdzie nie zapisuje tego maila, to przetwarzanie jest w tak szczątkowej formie (jeśli w ogóle kwalifikuje się do przetwarzania), że nie ma nawet jak podejść do tematu. A poza tym - tak naprawdę to te dane nie są nigdzie przechowywane - jedynie wysyła wiadomość mailową na podany adres, ale samego adresu nie zapisuje.
Więc po pierwsze - za bardzo nie widzę, w jaki sposób ktoś miałby tutaj zabezpieczyć dane. Może np. jakieś połączenie https, którym będą te dane przesyłane. Za bardzo nic innego mi nie przychodzi do głowy.
A po drugie - jak pisałem - poza wysyłka wiadomości z kodem, żadne inne działania związane z tym adresem nie będą podejmowane. Ponadto - nie zostaje on nigdzie zapisany. Tak więc ciężko mi nawet z definicji, którą podałeś wybrać jakąś czynność, która by "bez naciągania" pasowała do sytuacji z tego wątku.
Miejmy też na uwadze, że jednym z założeń RODO jest dopasowanie procedur do realnej sytuacji i potrzeb oraz możliwych zagrożeń. A tutaj to ewentualne przetwarzanie (bo jak pisałem - sprawa jest dyskusyjna) jest tak znikome, że raczej nie warto sobie nim głowy zaprzątać. W wypadku RODO (oraz innych przepisów dot. danych osobowych) chodzi zdecydowanie o sytuację, w której są one gromadzone, zapisywane, przeglądane, archiwizowane itp - czyli takie, w których jest realne ryzyko wycieku. Natomiast w podanej sytuacji te dane, które ewentualnie trzeba by było chronić, istnieją przez jakieś pół sekundy - czas pomiędzy wciśnięciem przycisku "Rejestruj" a wysłaniem przez serwer wiadomości aktywacyjnej.
P.S. @Rev: szacunek za umiejętność przyznania się do błędu. To jest tutaj rzadkość :)