Czy stosujecie RODO (GDPR) do danych wysyłanych w analitykach błędów na produkcji (firebase crashlytics)?

0

Spotkałem się z dwoma podejściami (rzeczy dzieją się na produkcji, w aplikacjach rzędu 100k DAU):

  1. w jednym korpo, które ma dobrych prawników, jeśli użytkownik w zgodach RODO zaznaczy "walcie się" to nie są wysyłane żadne dane do crashlytics (co skutkuje tym, że jest o 30% - bo tyle mniej więcej osób daje "walcie się" - mniej danych o crashach)
  2. w innym korpo, które również ma dobrych prawników, w ogóle nie mają pytania o RODO i wysyłają wszystko

Pytam jak to jest u was? Sam działam w metodzie 1) która jest nietrywialna do implementacji (Android), a podejście 2) wywołało moje zaskoczenie.

1

Pytanie jest inne - co w tych danych jest. Bo to jest chyba najważniejsza kwestia, bez której nie ocenisz tematu.
Po pierwsze - co zawierają?
Po drugie - jeśli zawierają dane podlegające pod RODO, to sam fakt ich przesłania to jedno, ale jeszcze masz cały mechanizm i procedurę ich przechowywania, gromadzenia, anonimizacji, usuwania, archiwizowania itp.

Poza tym RODO spowodowało pewną panikę jakiś czas temu, ale teraz ludzie zaczynają podchodzić coraz bardziej rozsądkowo. Tak samo jak te słynne banery o wykorzystaniu cookies, które wymusiła na stronach UE. Najpierw wszyscy zaczęli to hurtowo dodawać, nieważne czy i jakie cookies wykorzystujesz (na zasadzie - nie wiem, czy to mi jest potrzebne, ale wrzucę na wszelki wypadek, żeby nikt się nie dopieprzył), a później okazało się, że wiele cookiesów, które nie gromadzą danych osobowych w ogóle nie wymaga informowania ani zgody.

Tutaj podobnie - to, że gromadzisz jakieś dane analityczne/do crashów, nie oznacza, że od razu łamiesz RODO. Moim zdaniem najbezpieczniejsza opcja (sam tak będę robić w pewnym projekcie, który się zbliża wielkimi krokami) to coś takiego:

  • zbierasz dane o problemach, ALE są one zanonimizowane, czyli zamiast [email protected] masz anon34534
  • o przesyłanie takich danych w ogóle nikogo nie prosisz, masz tylko jakiś zapis w regulaminie/EULA, że takie dane są zbierane i przesyłane w celach diagnostycznych
  • jeśli coś się chrzani i potrzebujesz bardziej szczegółowych danych, to pokazujesz userowi okienko z komunikatem o treści w stylu Jest jakiś problem, ale żeby go w pełni zdiagnozować, musimy uzyskać bardziej szczegółowe dane, które mogą podlegać pod RODO. Czy wyrażasz na to zgodę?. I teraz albo się zgodzi - wtedy dostajesz konkretne dane o użytkownikach (na co wyraził zgodę), albo nie działa dalej, ale koleś nie ma prawa do narzekania, bo się nie zgodził na przesłanie danych, przez co uniemożliwił przeprowadzenie czynności serwisowych
  • mimo ewentualnej zgody z poprzedniego punktu - pamiętaj o tym, że jak te dane już masz, to musisz z nimi postępować zgodnie z zasadami - przetwarzanie, ochrona, zabezpieczenie, kasowanie jak są niepotrzebne itp. Musisz stworzyć do tego cała papierkologię - regulamin przetwarzania, polityki wewnętrzne firmy w zakresie RODO itp.
  • pamiętaj tez o jednym z głównych założeń RODO - czyli Privacy by design

1 użytkowników online, w tym zalogowanych: 0, gości: 1